OGÓLNE WARUNKI UMÓW CONTRACTSPOT

§ 1.

Postanowienia ogólne

Niniejsze Ogólne Warunki Umów ContractSpot (dalej: „OWU”) określają szczegółowe warunki świadczenia przez Usługodawcę na rzecz Usługobiorcy Usługi korzystania z Aplikacji (SaaS), w szczególności zasady korzystania z Aplikacji, wsparcia, odpowiedzialności, zawieszenia, wypowiedzenia i rozwiązania Umowy oraz skutki jej zakończenia. Postanowienia OWU mają zastosowanie również do korzystania z Aplikacji w Okresie Próbnym, o ile Regulamin nie stanowi wyraźnie inaczej.
OWU stanowią wzorzec umowny w rozumieniu art. 384 Kodeksu cywilnego oraz integralną część Umowy. Usługobiorca jest zobowiązany zapoznać się z OWU przed zawarciem Umowy, a akceptacja OWU (w szczególności poprzez zaznaczenie odpowiedniego checkboxa w Aplikacji) jest warunkiem zawarcia Umowy.
Dla uniknięcia wątpliwości Strony potwierdzają, że zawarcie Umowy następuje w momentach wskazanych w Regulaminie, w tym w szczególności: (i) w Okresie Próbnym – z chwilą skutecznego potwierdzenia rejestracji, oraz (ii) w zakresie Umowy odpłatnej – z chwilą skutecznego dokonania płatności w systemie płatności.
Ilekroć OWU odsyłają do Regulaminu lub Cennika, rozumie się przez to odpowiednio: Regulamin Aplikacji ContractSpot oraz aktualny Cennik udostępniany w Aplikacji. Definicje użyte w OWU mają znaczenie nadane im w Regulaminie, o ile OWU wyraźnie nie stanowią inaczej.
W razie sprzeczności dokumentów mają zastosowanie następujące zasady pierwszeństwa:

umowa indywidualna zawarta pomiędzy Stronami,
OWU,
Regulamin,
Cennik

– chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.

Strony zgodnie oświadczają, że Umowa jest zawierana wyłącznie w związku z prowadzoną przez Usługobiorcę działalnością gospodarczą i ma dla niego charakter zawodowy.
Osoba fizyczna dokonująca czynności w imieniu Usługobiorcy, w tym zakładająca Konto, akceptująca OWU lub dokonująca płatności, oświadcza, że jest należycie umocowana do reprezentowania Usługobiorcy i działania w jego imieniu, a Usługobiorca ponosi odpowiedzialność za działania tej osoby jak za własne.
Jedynym załącznikiem do OWU jest Załącznik nr 1 – Umowa powierzenia przetwarzania danych osobowych (dalej: „DPA”), stanowiąca integralną część OWU i Umowy. W przypadku rozbieżności pomiędzy postanowieniami DPA a OWU w zakresie przetwarzania danych osobowych, pierwszeństwo mają postanowienia DPA.

§ 2.

Zakres Usługi i model świadczenia

Usługa jest świadczona w modelu SaaS, tj. poprzez umożliwienie Usługobiorcy dostępu do funkcjonalności Aplikacji i korzystania z niej za pośrednictwem sieci Internet, w zakresie wynikającym z Umowy.
Umowa nie obejmuje w szczególności:

przeniesienia na Usługobiorcę autorskich praw majątkowych do Aplikacji ani jej elementów,
udostępnienia lub wydania kodu źródłowego Aplikacji,
świadczenia usług wdrożeniowych, konsultingowych, integracyjnych lub szkoleniowych,
– chyba że Strony wyraźnie postanowią inaczej w umowie indywidualnej.

Zakres funkcjonalności Aplikacji, parametry i limity korzystania z Usługi (w tym m.in. limity ilościowe lub techniczne, zakres dostępnych modułów i dodatków) wynikają z:

wariantu (planu) wybranego przez Usługobiorcę zgodnie z Cennikiem,
ustawień Konta oraz konfiguracji wybranej przez Usługobiorcę w Aplikacji,
ewentualnych uzgodnień indywidualnych Stron.

Usługodawca może rozwijać, aktualizować, modyfikować lub zmieniać Aplikację, jej interfejs oraz jej funkcjonalności, w tym dodawać nowe funkcje lub wycofywać funkcje dotychczasowe, o ile nie narusza to istoty Usługi w zakresie wynikającym z Umowy, z zastrzeżeniem zasad zmiany Regulaminu i OWU oraz bezwzględnie obowiązujących przepisów prawa.
Usługodawca może czasowo wprowadzać ograniczenia techniczne lub funkcjonalne (w tym przerwy serwisowe) niezbędne dla utrzymania lub poprawy bezpieczeństwa, stabilności albo jakości Usługi, a także w celu usuwania awarii lub wdrażania zmian, przy czym – o ile jest to możliwe – poinformuje Usługobiorcę z wyprzedzeniem w Aplikacji lub drogą elektroniczną.

§ 3.

Wsparcie i komunikacja

Usługodawca zapewnia Usługobiorcy podstawowe wsparcie techniczne dotyczące funkcjonowania Aplikacji, w szczególności w zakresie zgłaszania i weryfikacji nieprawidłowości działania Usługi.
Wsparcie świadczone jest za pośrednictwem kanałów komunikacji wskazanych w Aplikacji lub w komunikatach Usługodawcy (np. adres e-mail, formularz zgłoszeniowy, komunikacja in-app).
Aktualne godziny dostępności wsparcia, język komunikacji oraz zasady kontaktu (w tym wymagany zakres danych w zgłoszeniu) mogą być określane i aktualizowane przez Usługodawcę w Aplikacji lub w komunikatach Usługodawcy.
W ramach wsparcia Usługodawca w szczególności:

przyjmuje zgłoszenia dotyczące błędów, awarii i nieprawidłowości działania Usługi,
udziela odpowiedzi na pytania dotyczące korzystania z Aplikacji i jej funkcjonalności w zakresie standardowego działania Usługi.

Wsparcie nie obejmuje w szczególności:

konfiguracji lub diagnostyki środowiska, urządzeń, sieci, systemów lub oprogramowania Usługobiorcy,
tworzenia lub dostosowywania integracji niestandardowych (w tym po stronie Usługobiorcy),
szkoleń, warsztatów, konsultacji prawnych, kosztorysowych, finansowych ani biznesowych,
świadczeń wykraczających poza standardowy zakres Usługi wynikający z Cennika,
– chyba że Strony wyraźnie uzgodnią inaczej w umowie indywidualnej.

Usługodawca może uzależnić rozpoczęcie lub kontynuowanie obsługi zgłoszenia od przekazania przez Usługobiorcę informacji niezbędnych do weryfikacji zgłoszenia (w szczególności: opisu problemu, okoliczności jego wystąpienia, identyfikacji Konta/środowiska, zrzutów ekranu lub logów – o ile są dostępne u Usługobiorcy).
Oświadczenia i zawiadomienia Stron związane z Umową mogą być składane drogą elektroniczną na adresy e-mail wskazane w Aplikacji lub w Umowie; wiadomość uznaje się za doręczoną z upływem 3 dni roboczych od jej wysłania, chyba że Strona wykaże, że z uzasadnionych przyczyn od niej niezależnych nie mogła się z nią zapoznać.
Usługodawca zastrzega prawo do zmiany wymagań technicznych określonych powyżej, w szczególności w związku ze zmianami technologicznymi. Zmiana w zakresie wymogów technicznych nie stanowi zmiany Regulaminu. W przypadku gdy zmiana wymagań technicznych będzie wymagała podjęcia działań przez Usługobiorcę, Usługodawca poinformuje Usługobiorcę o planowanej zmianie z wyprzedzeniem.

§ 4.

Poziom dostępności Usługi

Usługodawca świadczy Usługę z zachowaniem należytej staranności, przy uwzględnieniu zawodowego charakteru działalności Usługodawcy oraz modelu świadczenia Usługi w sieci Internet.
OWU nie ustanawiają gwarantowanego poziomu dostępności Usługi ani parametrów SLA (w tym w szczególności: procentu dostępności w skali miesiąca, maksymalnego czasu pojedynczej przerwy, czasów reakcji lub usunięcia awarii), chyba że Strony wyraźnie postanowią inaczej w umowie indywidualnej.
Usługodawca jest uprawniony do przeprowadzania prac serwisowych, konserwacyjnych, rozwojowych lub aktualizacyjnych, które mogą powodować czasowe ograniczenia dostępności lub funkcjonalności Usługi (dalej: „Przerwy Serwisowe”).
O planowanych Przerwach Serwisowych Usługodawca – o ile jest to możliwe – informuje z wyprzedzeniem w Aplikacji lub drogą elektroniczną. Brak wcześniejszego powiadomienia nie narusza Umowy, jeżeli Przerwa Serwisowa była niezbędna w szczególności ze względu na bezpieczeństwo, stabilność Usługi albo usunięcie awarii.
Przerwy Serwisowe oraz zdarzenia, o których mowa w § 12 OWU (w szczególności okoliczności wyłączające lub ograniczające odpowiedzialność Usługodawcy), nie stanowią nienależytego wykonania Umowy ani naruszenia Umowy przez Usługodawcę w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.

§ 5.

Licencja na korzystanie z Aplikacji

Z chwilą zawarcia Umowy Usługodawca udziela Usługobiorcy niewyłącznego, nieprzenoszalnego, niepodlegającego sublicencjonowaniu oraz ograniczonego do czasu trwania Umowy prawa do korzystania z Aplikacji, wyłącznie w zakresie i na warunkach wynikających z Umowy, OWU, Regulaminu oraz wybranego wariantu Usługi określonego w Cenniku.
Uprawnienie, o którym mowa w ust. 1, obejmuje korzystanie z Aplikacji przez Użytkowników działających w imieniu i na rzecz Usługobiorcy, wyłącznie na potrzeby prowadzonej przez Usługobiorcę działalności gospodarczej oraz w ramach jego wewnętrznych procesów biznesowych.
Licencja nie obejmuje prawa do:

trwałego lub czasowego zwielokrotniania Aplikacji w całości lub w części, z wyjątkiem przypadków wynikających z normalnego korzystania z Usługi,
modyfikowania, adaptowania, tłumaczenia, dekompilacji, dezasemblacji lub podejmowania innych prób odtworzenia kodu źródłowego Aplikacji, z wyjątkiem zakresu bezwzględnie dozwolonego przez przepisy prawa,
udostępniania Aplikacji osobom trzecim, w tym odpłatnie lub nieodpłatnie, w szczególności w formie outsourcingu, timesharingu, sublicencji lub odsprzedaży,
usuwania lub modyfikowania oznaczeń prawnych, informacji o prawach autorskich, znakach towarowych lub innych oznaczeń Usługodawcy.

Korzystanie z Aplikacji w sposób wykraczający poza zakres udzielonej licencji lub sprzeczny z Umową, OWU albo Regulaminem stanowi istotne naruszenie Umowy i uprawnia Usługodawcę do zastosowania środków przewidzianych w Umowie, w tym do ograniczenia lub zawieszenia dostępu do Aplikacji albo rozwiązania Umowy.
Wszelkie prawa własności intelektualnej do Aplikacji oraz jej elementów, nieudzielone wyraźnie Usługobiorcy na podstawie Umowy, pozostają przy Usługodawcy lub innych uprawnionych podmiotach.

§ 6.
Opłaty, odnowienia i płatności

Umowa odpłatna zawierana jest na czas określony odpowiadający wybranemu przez Usługobiorcę Okresowi Subskrypcji i ulega automatycznemu odnowieniu na kolejny Okres Subskrypcji, o ile Usługobiorca nie wypowie Umowy zgodnie z postanowieniami OWU.
Z tytułu świadczenia Usługi Usługobiorca zobowiązany jest do uiszczania Opłaty Subskrypcyjnej z góry, cyklicznie, za każdy Okres Subskrypcji, w wysokości oraz na zasadach określonych w aktualnym Cenniku.
Płatności dokonywane są za pośrednictwem systemów płatności udostępnionych w ramach Aplikacji. Za dzień płatności uznaje się dzień skutecznego dokonania płatności w systemie płatności.
W przypadku nieudanej płatności Usługodawca jest uprawniony do:

ponowienia próby obciążenia wybranej metody płatności,
zastosowania okresu karencji,
czasowego ograniczenia funkcjonalności Aplikacji lub zawieszenia dostępu do Usługi – do momentu skutecznego uregulowania należnych opłat.

Zmiany wysokości Opłat Subskrypcyjnych oraz zasad rozliczeń dokonywane są zgodnie z postanowieniami Regulaminu oraz Cennika i nie wpływają na wysokość opłat należnych za Okres Subskrypcji rozpoczęty przed wejściem w życie zmiany, chyba że Strony postanowią inaczej.
Akceptacja OWU stanowi wyrażenie przez Usługobiorcę zgody na wystawianie oraz przesyłanie faktur VAT w formie elektronicznej na adres poczty elektronicznej przypisany do Konta, bez konieczności składania odrębnych oświadczeń w tym zakresie.
Opłaty uiszczone przez Usługobiorcę nie podlegają zwrotowi, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa lub odmiennych postanowień umowy indywidualnej.

§ 7.
Obowiązki Usługobiorcy

Usługobiorca zobowiązuje się korzystać z Aplikacji zgodnie z Umową, OWU, Regulaminem, Cennikiem oraz obowiązującymi przepisami prawa.
Usługobiorca ponosi pełną odpowiedzialność za działania i zaniechania Użytkowników korzystających z Aplikacji w jego imieniu, jak za własne działania i zaniechania.
Usługobiorca zobowiązany jest w szczególności do:

zapewnienia, że Użytkownicy posiadają odpowiednie uprawnienia do korzystania z Aplikacji,
zabezpieczenia danych uwierzytelniających dostęp do Konta przed dostępem osób trzecich,
niezwłocznego informowania Usługodawcy o podejrzeniu nieuprawnionego dostępu do Konta lub naruszenia bezpieczeństwa,
korzystania z Aplikacji w sposób nienaruszający praw osób trzecich, w tym praw własności intelektualnej, dóbr osobistych oraz tajemnicy przedsiębiorstwa.

Usługobiorca zapewnia, że wszelkie Treści Usługobiorcy wprowadzane do Aplikacji są zgodne z prawem oraz że przysługują mu prawa niezbędne do ich wprowadzenia, przechowywania i przetwarzania w ramach Usługi.
Usługobiorca ponosi wyłączną odpowiedzialność za skutki korzystania z Aplikacji w swojej działalności gospodarczej, w tym za decyzje biznesowe, prawne lub organizacyjne podejmowane na podstawie informacji uzyskanych przy wykorzystaniu Aplikacji.
Usługobiorca zobowiązuje się nie podejmować działań, które mogłyby zakłócić prawidłowe funkcjonowanie Aplikacji, w szczególności poprzez obejście zabezpieczeń technicznych, nadmierne obciążanie systemu lub wykorzystywanie Aplikacji w sposób sprzeczny z jej przeznaczeniem.

§ 8.
Treści Usługobiorcy oraz dane

Wszelkie Treści Usługobiorcy wprowadzane, przechowywane lub przetwarzane w Aplikacji pozostają własnością Usługobiorcy lub odpowiednich podmiotów trzecich, którym przysługują do nich prawa.
Z chwilą wprowadzenia Treści Usługobiorcy do Aplikacji, Usługobiorca udziela Usługodawcy niewyłącznej, nieodpłatnej i ograniczonej do czasu trwania Umowy licencji technicznej na korzystanie z Treści Usługobiorcy wyłącznie w zakresie niezbędnym do:

świadczenia Usługi zgodnie z Umową,
utrzymania, zabezpieczenia i rozwoju Aplikacji,
realizacji obowiązków rozliczeniowych i księgowych,
obrony przed ewentualnymi roszczeniami związanymi z korzystaniem z Aplikacji.

Usługodawca nie nabywa żadnych praw do Treści Usługobiorcy poza zakresem określonym w ust. 2 oraz nie wykorzystuje Treści Usługobiorcy do innych celów, w szczególności do treningu modeli sztucznej inteligencji, chyba że Strony wyraźnie postanowią inaczej.
W zakresie, w jakim w ramach świadczenia Usługi Usługodawca przetwarza dane osobowe w imieniu Usługobiorcy, Strony zawierają umowę powierzenia przetwarzania danych osobowych stanowiącą Załącznik nr 1 do OWU (DPA).
DPA określa w szczególności przedmiot, czas trwania, charakter i cel przetwarzania danych osobowych, kategorie danych i osób, środki bezpieczeństwa, zasady korzystania z podwykonawców (subprocesorów) oraz zasady postępowania po zakończeniu przetwarzania.
Informacje dotyczące przetwarzania danych osobowych przez Usługodawcę jako administratora danych, w szczególności w zakresie danych identyfikacyjnych, kontaktowych i rozliczeniowych Usługobiorców, określa odrębna Polityka Prywatności.
Usługodawca nie ponosi odpowiedzialności za Treści Usługobiorcy wprowadzane do Aplikacji ani za skutki ich wykorzystania przez Usługobiorcę, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa.

§ 9.
Podwykonawcy

Usługodawca jest uprawniony do korzystania przy wykonywaniu Umowy z podwykonawców (w tym dalszych podwykonawców), w szczególności dostawców infrastruktury chmurowej, hostingu, usług komunikacyjnych, narzędzi analitycznych oraz systemów płatności, o ile jest to niezbędne lub uzasadnione dla świadczenia Usługi, jej utrzymania, rozwoju lub zapewnienia bezpieczeństwa.
Powierzenie wykonania określonych czynności podwykonawcom nie zwalnia Usługodawcy z odpowiedzialności za należyte wykonanie Umowy, z zastrzeżeniem postanowień OWU dotyczących ograniczenia lub wyłączenia odpowiedzialności.
W zakresie, w jakim w ramach korzystania z podwykonawców dochodzi do powierzenia przetwarzania danych osobowych w rozumieniu RODO (korzystanie z subprocesorów), zastosowanie mają postanowienia DPA, w tym w szczególności dotyczące zasad korzystania z subprocesorów oraz trybu informowania o ich zmianach.
Usługobiorca przyjmuje do wiadomości, że niektóre elementy Usługi mogą zależeć od usług świadczonych przez podmioty trzecie (w szczególności dostawców infrastruktury, hostingu lub usług płatniczych), a zakłócenia po stronie tych podmiotów mogą wpływać na dostępność lub działanie Usługi, co – zgodnie z postanowieniami § 4 oraz § 12 OWU – nie stanowi nienależytego wykonania Umowy przez Usługodawcę.

§ 10.
Sztuczna inteligencja (AI)

Usługodawca informuje, że Aplikacja może wykorzystywać funkcjonalności oparte o modele sztucznej inteligencji (AI), zgodnie z zasadami określonymi w Regulaminie, w szczególności w zakresie wskazanym w postanowieniach Regulaminu dotyczących wykorzystania AI.
Usługobiorca przyjmuje do wiadomości, że wyniki generowane przy wykorzystaniu AI mogą zawierać błędy, nieścisłości lub braki i wymagają każdorazowej weryfikacji przez człowieka przed ich wykorzystaniem, a Usługodawca nie gwarantuje poprawności, kompletności ani przydatności takich wyników do konkretnego celu Usługobiorcy.
Postanowienia OWU nie ustanawiają dodatkowych gwarancji, zapewnień ani poziomów usług (SLA) dotyczących funkcjonalności AI ani nie stanowią zobowiązania Usługodawcy do zapewnienia określonej jakości, wydajności lub efektywności wyników generowanych przy wykorzystaniu AI.
W zakresie, w jakim korzystanie z funkcjonalności AI wiąże się z przetwarzaniem danych osobowych w imieniu Usługobiorcy, zasady takiego przetwarzania, w tym ewentualne korzystanie z subprocesorów, określa DPA.
Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, Usługodawca nie ponosi odpowiedzialności za decyzje lub działania Usługobiorcy podjęte na podstawie wyników generowanych przy wykorzystaniu AI ani za skutki wykorzystania tych wyników w działalności Usługobiorcy.

§ 11.
Poufność

Na potrzeby Umowy „Informacje Poufne” oznaczają wszelkie informacje przekazywane lub ujawniane przez jedną ze Stron drugiej Stronie w związku z zawarciem lub wykonywaniem Umowy, niezależnie od formy ich przekazania (w szczególności informacje techniczne, technologiczne, handlowe, organizacyjne, finansowe, dane dotyczące klientów, strategii, procesów biznesowych, dokumentacji oraz Treści Usługobiorcy), które nie są publicznie dostępne.
Strony zobowiązują się do zachowania w poufności Informacji Poufnych oraz do wykorzystywania ich wyłącznie w celu wykonania Umowy.
Obowiązek zachowania poufności nie dotyczy informacji, które:

były publicznie dostępne w chwili ich ujawnienia lub stały się publicznie dostępne w sposób niezależny od Strony zobowiązanej do zachowania poufności,
zostały ujawnione na podstawie bezwzględnie obowiązujących przepisów prawa lub prawomocnego orzeczenia sądu albo decyzji uprawnionego organu,
zostały ujawnione za uprzednią, wyraźną zgodą Strony, której dotyczą.

Strona otrzymująca Informacje Poufne może ujawnić je wyłącznie swoim pracownikom, współpracownikom, podwykonawcom lub doradcom, w zakresie niezbędnym do wykonania Umowy, pod warunkiem zapewnienia, że osoby te są zobowiązane do zachowania poufności w stopniu nie mniejszym niż wynikający z OWU.
Obowiązek zachowania poufności obowiązuje przez cały okres obowiązywania Umowy, a po jej zakończeniu przez okres 3 (trzech) lat, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.
Postanowienia niniejszego paragrafu nie naruszają obowiązków Stron wynikających z Umowy powierzenia przetwarzania danych osobowych (DPA) ani Polityki Prywatności.

§ 12.

Odpowiedzialność i poziom usług

Usługodawca zobowiązuje się świadczyć Usługi z dochowaniem należytej staranności.
Usługodawca nie gwarantuje określonego poziomu wydajności, efektywności lub użyteczności Aplikacji w relacji do konkretnych potrzeb i zastosowań Usługobiorcy.
Strony wyłączają odpowiedzialność Usługodawcy z tytułu utraconych korzyści Usługobiorcy będącego Przedsiębiorcą, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.
Na podstawie art. 558 § 1 Kodeksu cywilnego Strony wyłączają odpowiedzialność Usługodawcy z tytułu rękojmi za wady fizyczne i prawne Aplikacji oraz Usługi, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.
W zakresie dozwolonym przez przepisy Kodeksu cywilnego Usługodawca nie ponosi wobec Usługobiorcy odpowiedzialności za skutki:
1. wykorzystywania przez Usługobiorców jakichkolwiek usług lub funkcjonalności dostępnych w ramach Aplikacji niezgodnie z ich przeznaczeniem,
2. podania przez Usługobiorców nieprawidłowych lub nieprawdziwych danych,
3. skutki wykorzystania danych autoryzujących dostęp do Konta przez osoby trzecie, jeżeli osoby te weszły w posiadanie tych danych na skutek ich ujawnienia przez Usługobiorców albo na skutek ich niedostatecznego zabezpieczenia przez Usługobiorców przed dostępem takich osób.
W zakresie dozwolonym przez przepisy Kodeksu cywilnego Usługodawca nie ponosi odpowiedzialności za zakłócenia w funkcjonowaniu Aplikacji wynikające z:
1. działania siły wyższej (za którą uznaje się także niedostępność API kluczowych dostawców zewnętrznych usług czy zakaz używania konkretnych modeli AI przez organy nadzorcze),
2. prowadzonych w Aplikacji niezbędnych prac serwisowych,
3. przyczyn leżących po stronie Usługobiorcy,
4. przyczyn niezależnych od Usługodawcy, w szczególności działania osób trzecich, za które Usługodawca nie ponosi odpowiedzialności.
Zakłócenia, o których mowa w niniejszym paragrafie, nie stanowią nienależytego wykonania Umowy w rozumieniu § 4 OWU.
Usługodawca zobowiązuje się przeprowadzać prace, o których mowa w ust. 6 pkt 2 powyżej, w sposób możliwie najmniej uciążliwy dla Usługobiorców oraz w miarę możliwości z wyprzedzeniem informować ich o planowanych pracach.
Usługodawca zobowiązuje się w miarę możliwości na bieżąco usuwać zakłócenia w funkcjonowaniu Aplikacji.
Z zastrzeżeniem szkód wyrządzonych przez Usługodawcę umyślnie oraz bezwzględnie obowiązujących przepisów prawa, łączna odpowiedzialność Usługodawcy wobec Usługobiorcy, niezależnie od podstawy prawnej, jest ograniczona do łącznej wysokości Opłat Subskrypcyjnych faktycznie zapłaconych przez Usługobiorcę na rzecz Usługodawcy w okresie 12 (dwunastu) miesięcy poprzedzających zdarzenie powodujące odpowiedzialność.
Usługodawca może czasowo ograniczyć dostęp do Aplikacji lub Konta, a w uzasadnionych przypadkach zawiesić lub zakończyć świadczenie Usługi, jeżeli jest to niezbędne ze względów bezpieczeństwa, stabilności Aplikacji lub w przypadku naruszenia przez Usługobiorcę postanowień Regulaminu, OWU lub przepisów prawa, zgodnie z zasadami określonymi w dalszych postanowieniach OWU.
Usługobiorca zobowiązuje się zwolnić Usługodawcę z odpowiedzialności oraz pokryć uzasadnione koszty, szkody i wydatki (w tym koszty obsługi prawnej) poniesione przez Usługodawcę w związku z roszczeniami osób trzecich wynikającymi z: (i) naruszenia przez Usługobiorcę lub Użytkowników Umowy, OWU, Regulaminu lub prawa, lub (ii) Treści Usługobiorcy, w szczególności w zakresie naruszenia praw własności intelektualnej lub dóbr osobistych – chyba że roszczenia wynikają z wyłącznej winy Usługodawcy.

§ 13.
Zawieszenie i ograniczenie dostępu

Usługodawca może czasowo ograniczyć dostęp do Aplikacji lub Konta, w tym w szczególności zastosować ograniczenia funkcjonalne (np. tryb odczytu), a w uzasadnionych przypadkach zawiesić świadczenie Usługi wobec Usługobiorcy (dalej łącznie: „Ograniczenie”), jeżeli:

jest to niezbędne dla zapewnienia bezpieczeństwa Aplikacji, Konta, Treści Usługobiorcy lub infrastruktury Usługodawcy,
jest to niezbędne dla zapewnienia stabilności lub integralności Aplikacji albo dla zapobieżenia awarii lub usunięcia awarii,
Usługobiorca lub Użytkownik narusza Umowę, OWU, Regulamin, Cennik albo przepisy prawa, w szczególności poprzez działania mogące zakłócić działanie Aplikacji, naruszać bezpieczeństwo lub prawa osób trzecich,
zachodzi opóźnienie w płatności Opłaty Subskrypcyjnej lub innych należności na rzecz Usługodawcy,
jest to wymagane przez bezwzględnie obowiązujące przepisy prawa, decyzję lub żądanie uprawnionego organu.

W przypadku naruszeń możliwych do usunięcia, przed zastosowaniem Ograniczenia Usługodawca może wezwać Usługobiorcę do zaprzestania naruszeń lub usunięcia ich skutków w wyznaczonym terminie. Postanowienie zdania poprzedzającego nie ma zastosowania, jeżeli natychmiastowe Ograniczenie jest konieczne ze względów bezpieczeństwa, dla zapobieżenia powstaniu szkody lub w celu zapewnienia stabilności Aplikacji.
Zakres i czas trwania Ograniczenia powinny być adekwatne do charakteru i wagi przyczyny Ograniczenia. Usługodawca, o ile jest to możliwe, informuje Usługobiorcę o zastosowaniu Ograniczenia oraz o przyczynie jego zastosowania.
Ograniczenie lub zawieszenie dostępu do Aplikacji nie narusza prawa Usługobiorcy do dostępu do Treści Usługobiorcy w zakresie przewidzianym w Umowie, w tym w § 15 OWU oraz w DPA, chyba że taki dostęp jest niemożliwy lub wymaga czasowego wstrzymania ze względów bezpieczeństwa albo wynika z przepisów prawa lub decyzji uprawnionego organu.
W okresie Ograniczenia lub zawieszenia świadczenia Usługi obowiązek uiszczania Opłaty Subskrypcyjnej nie ulega zawieszeniu, o ile Ograniczenie lub zawieszenie nastąpiło z przyczyn leżących po stronie Usługobiorcy.

§ 14.
Czas trwania, wypowiedzenie i rozwiązanie Umowy

Umowa zostaje zawarta na czas określony odpowiadający Okresowi Subskrypcji wybranemu przez Usługobiorcę i ulega automatycznemu odnowieniu na kolejny Okres Subskrypcji, zgodnie z § 6 OWU, o ile nie zostanie skutecznie wypowiedziana.
Usługobiorca może wypowiedzieć Umowę ze skutkiem na koniec bieżącego Okresu Subskrypcji w każdym czasie przed jego upływem, poprzez złożenie oświadczenia o wypowiedzeniu w Aplikacji (za pomocą dostępnych funkcjonalności). Wypowiedzenie złożone po skutecznym odnowieniu Umowy na kolejny Okres Subskrypcji wywołuje skutek na koniec kolejnego Okresu Subskrypcji.
Usługodawca może wypowiedzieć Umowę ze skutkiem na koniec bieżącego Okresu Subskrypcji z ważnych przyczyn, w szczególności w razie zakończenia świadczenia Usługi lub istotnej zmiany modelu świadczenia Usługi.
Każda ze Stron może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia Umowy przez drugą Stronę, jeżeli naruszenie nie zostanie usunięte w terminie 7 (siedmiu) dni od dnia otrzymania wezwania do usunięcia naruszenia, chyba że natychmiastowe rozwiązanie jest uzasadnione charakterem naruszenia.
Usługodawca może rozwiązać Umowę ze skutkiem natychmiastowym, bez wyznaczania terminu, jeżeli:

Usługobiorca dopuszcza się rażącego naruszenia bezpieczeństwa Aplikacji lub prób obejścia zabezpieczeń,
Usługobiorca korzysta z Aplikacji w sposób naruszający prawa własności intelektualnej Usługodawcy lub osób trzecich,
opóźnienie Usługobiorcy w płatności Opłaty Subskrypcyjnej przekracza 14 (czternaście) dni od dnia jej wymagalności,
dalsze świadczenie Usługi stało się niemożliwe lub niezgodne z prawem z przyczyn niezależnych od Usługodawcy (w szczególności na skutek decyzji organu lub zmiany przepisów).

Wypowiedzenie lub rozwiązanie Umowy nie wpływa na ważność postanowień, które ze swej natury pozostają w mocy po zakończeniu Umowy, w szczególności postanowień dotyczących poufności, odpowiedzialności, praw własności intelektualnej oraz zasad postępowania z danymi po zakończeniu Umowy.

§ 15.
Skutki zakończenia Umowy

Z dniem rozwiązania lub wygaśnięcia Umowy, niezależnie od przyczyny, Usługobiorca traci prawo do korzystania z Aplikacji oraz dostęp do Konta i funkcjonalności Usługi.
Po zakończeniu Umowy Usługodawca może przechowywać Treści Usługobiorcy oraz dane przez okres do 30 dni , w zakresie i przez czas niezbędny do:

wykonania obowiązków wynikających z bezwzględnie obowiązujących przepisów prawa,
rozliczeń pomiędzy Stronami,
zabezpieczenia lub dochodzenia roszczeń.

Po upływie okresu retencji, o którym mowa w ust. 2, Usługodawca jest uprawniony do trwałego usunięcia Treści Usługobiorcy oraz danych przechowywanych w ramach Usługi, bez obowiązku ich dalszego przechowywania lub archiwizacji, o ile bezwzględnie obowiązujące przepisy prawa nie stanowią inaczej.
Na indywidualny wniosek Usługobiorcy, złożony przed usunięciem Treści Usługobiorcy, Usługodawca może umożliwić eksport danych lub zapewnić wsparcie migracyjne, na warunkach każdorazowo uzgodnionych przez Strony, w tym w szczególności odpłatnie.
Zakończenie Umowy nie wpływa na ważność postanowień OWU, które ze swojej natury obowiązują po jej zakończeniu, w szczególności postanowień dotyczących poufności, odpowiedzialności, praw własności intelektualnej oraz zasad przetwarzania danych osobowych.
Zakończenie Umowy nie uprawnia Usługobiorcy do żądania zwrotu uiszczonych Opłat Subskrypcyjnych, w tym opłat za okres subskrypcji niewykorzystany na skutek wypowiedzenia lub rozwiązania Umowy.

§ 16.
Zmiana OWU

Usługodawca jest uprawniony do zmiany OWU z ważnych przyczyn, w szczególności w przypadku:

zmiany przepisów prawa mających wpływ na treść OWU lub świadczenie Usługi,
zmiany zakresu, modelu lub sposobu świadczenia Usługi,
wprowadzenia nowych funkcjonalności lub modyfikacji istniejących funkcjonalności Aplikacji,
zmiany warunków współpracy z podwykonawcami lub dostawcami usług wykorzystywanych przy świadczeniu Usługi,
konieczności doprecyzowania lub ujednolicenia postanowień OWU.

O zmianie OWU Usługodawca informuje Usługobiorcę z wyprzedzeniem co najmniej 14 (czternastu) dni przed wejściem zmian w życie, poprzez publikację zmienionej treści OWU w Aplikacji lub przekazanie informacji drogą elektroniczną.
Usługobiorca, który nie akceptuje zmian OWU, jest uprawniony do wypowiedzenia Umowy ze skutkiem na koniec bieżącego Okresu Subskrypcji, składając stosowne oświadczenie przed dniem wejścia zmian w życie.
Brak wypowiedzenia Umowy przed dniem wejścia w życie zmian oraz dalsze korzystanie z Usługi po tym dniu oznacza akceptację zmienionej treści OWU.
Zmiany OWU nie naruszają praw nabytych Usługobiorcy w odniesieniu do Okresu Subskrypcji rozpoczętego przed dniem wejścia w życie zmian, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.

§ 17.
Postanowienia końcowe

Do Umowy oraz OWU zastosowanie ma prawo polskie.
Strony zgodnie postanawiają, że wszelkie spory wynikające z Umowy lub pozostające w związku z jej zawarciem, wykonywaniem lub rozwiązaniem podlegają rozstrzygnięciu zgodnie z zasadami określonymi w § 13 Regulaminu, w tym w drodze arbitrażu.
W zakresie, w jakim zgodnie z bezwzględnie obowiązującymi przepisami prawa konieczne jest wystąpienie do sądu powszechnego, właściwy jest sąd powszechny miejscowo właściwy dla siedziby Usługodawcy.
Jeżeli którekolwiek z postanowień OWU okaże się nieważne, bezskuteczne lub niewykonalne, nie wpływa to na ważność pozostałych postanowień OWU. W miejsce nieważnego lub bezskutecznego postanowienia Strony przyjmują postanowienie możliwie najbliższe celowi gospodarczemu pierwotnego postanowienia.
W sprawach nieuregulowanych w Umowie oraz OWU zastosowanie mają przepisy powszechnie obowiązującego prawa polskiego.
OWU obowiązują od dnia ich opublikowania w Aplikacji i mają zastosowanie do Umów zawieranych od tego dnia, chyba że Strony postanowią inaczej w umowie indywidualnej.

Załącznik nr 1 do Ogólnych Warunków Umów ContractSpot

UMOWA POWIERZENIA DANYCH (DPA)

§ 1.

Strony, status i zawarcie Umowy

Niniejsza Umowa powierzenia przetwarzania danych osobowych („DPA”) zostaje zawarta pomiędzy:

Usługobiorcą – jako administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO („Administrator”), oraz
Usługodawcą – jako podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO („Procesor”).

DPA stanowi integralną część Umowy/OWU i zostaje zawarta w formie elektronicznej (art. 28 ust. 9 RODO) poprzez akceptację OWU (w tym DPA) w Aplikacji. Dowodem zawarcia DPA mogą być w szczególności logi systemowe Procesora.
Pojęcia niezdefiniowane w DPA mają znaczenie nadane im w OWU/Regulaminie, chyba że DPA stanowi inaczej.
W razie sprzeczności DPA z OWU w zakresie przetwarzania danych osobowych pierwszeństwo ma DPA.

§ 2.

Przedmiot, czas trwania i zakres powierzenia

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia Usługi w modelu SaaS.
Przetwarzanie trwa przez czas obowiązywania Umowy oraz – w zakresie niezbędnym – przez okres retencji opisany w § 12, a także przez czas wymagany bezwzględnie obowiązującymi przepisami prawa.
Szczegółowy opis kategorii osób, danych, celów i operacji przetwarzania określa Załącznik A (Opis Przetwarzania).

§ 3.

Charakter i cel przetwarzania

Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia Usługi, w tym w szczególności:

świadczenia i utrzymania Usługi, zapewnienia jej bezpieczeństwa i ciągłości działania,
realizacji czynności wsparcia technicznego (support), diagnostyki i usuwania awarii,
wykonywania kopii zapasowych, odtwarzania, testowania, monitoringu i logowania zdarzeń w zakresie adekwatnym do bezpieczeństwa i działania Usługi,
zapobiegania nadużyciom oraz naruszeniom bezpieczeństwa.

Procesor nie przetwarza danych powierzonych dla własnych celów jako administrator, z wyjątkiem przypadków, gdy wynika to z bezwzględnie obowiązujących przepisów prawa.
Niezależnie od powyższego, w zakresie danych niezbędnych do rozliczeń, fakturowania, obsługi płatności, dochodzenia lub obrony roszczeń związanych z rozliczeniami, a także w zakresie obowiązków prawnych ciążących na Procesorze (np. podatkowych) – Procesor może występować jako odrębny administrator danych, na zasadach opisanych w Polityce Prywatności (nie w ramach niniejszej DPA).

§ 4.

Polecenia Administratora

Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, w tym w szczególności wynikające z Umowy, OWU, Regulaminu oraz konfiguracji Usługi dokonanej przez Administratora w Aplikacji.
Jeżeli Procesor uzna, że polecenie narusza RODO lub inne przepisy o ochronie danych, niezwłocznie poinformuje Administratora, o ile prawo nie zakazuje takiego poinformowania.
Jeżeli obowiązek przetwarzania wynika z prawa Unii lub prawa polskiego, Procesor poinformuje o tym Administratora (o ile prawo nie zabrania), zanim przetwarzanie nastąpi.

§ 5.

Poufność i upoważnienia

Procesor zapewnia, aby osoby upoważnione do przetwarzania danych (pracownicy, współpracownicy) zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi poufności.
Procesor ogranicza dostęp do danych do osób, dla których jest to niezbędne do realizacji Umowy, zgodnie z zasadą najmniejszych uprawnień.

§ 6.

Bezpieczeństwo przetwarzania (art. 32 RODO)

Procesor wdraża odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania.
Minimalny katalog środków bezpieczeństwa (organizacyjnych i technicznych) opisuje Załącznik B (Środki Bezpieczeństwa), obejmujący co najmniej:

kontrolę dostępu (role/uprawnienia),
szyfrowanie transmisji (np. TLS/HTTPS) oraz – o ile adekwatne – szyfrowanie danych w spoczynku,
kopie zapasowe i odtwarzanie,
rejestrowanie zdarzeń (logi) w zakresie adekwatnym do bezpieczeństwa,
aktualizacje i zarządzanie podatnościami,
separację środowisk/tenancy w zakresie adekwatnym do architektury Usługi.

Procesor może aktualizować środki bezpieczeństwa, o ile nie obniża to poziomu bezpieczeństwa poniżej poziomu adekwatnego do ryzyka.

§ 7.

Naruszenia ochrony danych (incydenty)

Procesor, bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego danych powierzonych (dalej: „Naruszenie”), informuje Administratora o Naruszeniu w zakresie niezbędnym do wykonania przez Administratora obowiązków wynikających z art. 33–34 RODO.
Informacja o Naruszeniu może zostać przekazana etapowo: w pierwszej kolejności jako powiadomienie wstępne, a następnie – w miarę ustalania okoliczności – jako informacje uzupełniające.
Zgłoszenie Naruszenia powinno obejmować w szczególności, o ile informacje te są dostępne:

opis charakteru Naruszenia (w tym kategorie i przybliżona liczba rekordów),
możliwe konsekwencje,
środki zastosowane lub proponowane w celu zaradzenia Naruszeniu i minimalizacji skutków,
punkt kontaktu po stronie Procesora.

Procesor prowadzi rejestr Naruszeń dotyczących danych powierzonych, w zakresie wymaganym przez RODO.

§ 8.

Pomoc Procesora dla Administratora

Z uwzględnieniem charakteru przetwarzania Procesor pomaga Administratorowi w wywiązywaniu się z obowiązków dotyczących:

realizacji praw osób, których dane dotyczą (art. 12–22 RODO),
bezpieczeństwa przetwarzania (art. 32 RODO),
zgłaszania Naruszeń (art. 33–34 RODO),
oceny skutków dla ochrony danych (DPIA) i konsultacji z organem nadzorczym (art. 35–36 RODO) – w zakresie dotyczącym Usługi.

Jeżeli osoba, której dane dotyczą, skieruje żądanie bezpośrednio do Procesora w odniesieniu do danych powierzonych, Procesor (o ile prawo nie stanowi inaczej) przekaże żądanie Administratorowi bez zbędnej zwłoki.

§ 9.

Subprocesorzy (podpowierzenie)

Administrator udziela Procesorowi ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających („Subprocesorzy”) w zakresie niezbędnym do świadczenia Usługi (np. hosting, chmura, uwierzytelnianie, narzędzia komunikacji, systemy płatności, monitoring, analityka produktowa).
Procesor zapewnia, że na Subprocesora nałożone zostaną obowiązki co najmniej równoważne obowiązkom wynikającym z niniejszej DPA, w szczególności w zakresie bezpieczeństwa i poufności.
Kategorie Subprocesorów, informacje o lokalizacjach przetwarzania oraz zasadach transferów określa Załącznik C. Aktualna lista Subprocesorów może być udostępniana Administratorowi na jego żądanie.
O planowanej zmianie Subprocesora (dodaniu lub zastąpieniu) Procesor poinformuje Administratora – o ile jest to możliwe – poprzez komunikat w Aplikacji lub drogą elektroniczną, zapewniając możliwość wniesienia uzasadnionego sprzeciwu w terminie 14 dni od powiadomienia.
W przypadku wniesienia uzasadnionego sprzeciwu Strony podejmą próbę uzgodnienia rozwiązania alternatywnego; jeżeli nie będzie to możliwe, Administrator może wypowiedzieć Umowę zgodnie z OWU.

§ 10.

Transfery do państw trzecich

Jeżeli w związku ze świadczeniem Usługi dojdzie do przekazania danych powierzonych do państwa trzeciego lub organizacji międzynarodowej, Procesor zapewni, że przekazanie nastąpi na podstawie właściwej podstawy legalizującej, w szczególności:

decyzji stwierdzającej odpowiedni stopień ochrony, albo
standardowych klauzul umownych (SCC), wraz z dodatkowymi środkami (o ile wymagane), albo
innego mechanizmu dopuszczonego przez RODO (np. EU–US Data Privacy Framework, jeżeli dotyczy danego dostawcy).

Informacja o lokalizacjach przetwarzania oraz transferach (o ile dotyczy) jest wskazana w Załączniku C oraz może być udostępniana w Aplikacji lub dokumentacji Usługi.

§ 11.

Audyt i informacje (rozliczalność)

Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO, w zakresie dotyczącym Usługi.
Administrator ma prawo przeprowadzić audyt zgodności Procesora z DPA, nie częściej niż raz w roku, z zachowaniem:

co najmniej 30 dni wyprzedzenia,
obowiązku poufności,
ograniczenia audytu do zakresu danych powierzonych i Usługi.

Audyt może zostać zrealizowany w pierwszej kolejności poprzez:

weryfikację dokumentacji i odpowiedzi na kwestionariusz,
aktualne raporty/atestacje bezpieczeństwa (jeżeli Procesor je posiada),
zdalny przegląd dowodów zgodności.

Audyt na miejscu jest dopuszczalny wyłącznie, gdy forma zdalna jest niewystarczająca do weryfikacji istotnego ryzyka i nie narusza bezpieczeństwa innych klientów Procesora ani tajemnicy przedsiębiorstwa.
Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie DPA po stronie Procesora.

§ 12.

Zakończenie przetwarzania, zwrot/usunięcie danych (Exit/Retencja)

Po zakończeniu Umowy Procesor – według wyboru Administratora zgłoszonego przed upływem retencji:

umożliwi Administratorowi eksport danych w zakresie i formacie wspieranym przez Usługę, a następnie usunie dane, albo
usunie dane bez eksportu, jeżeli Administrator nie dokona eksportu w okresie retencji.

Okres retencji danych powierzonych po zakończeniu Umowy wynosi 30 (trzydzieści) dni od dnia wygaśnięcia/rozwiązania Umowy. Po upływie retencji Procesor jest uprawniony do trwałego usunięcia danych.
Procesor może zachować dane w zakresie niezbędnym do wypełnienia obowiązków prawnych lub ustalenia, dochodzenia lub obrony roszczeń – przez czas niezbędny do tych celów.
Usunięcie obejmuje systemy produkcyjne i – w miarę możliwości technicznych – kopie robocze; kopie zapasowe mogą być nadpisywane zgodnie z cyklem backupu wskazanym w Załączniku B.

§ 13.

Funkcjonalności AI

Administrator przyjmuje do wiadomości, że w ramach Usługi mogą występować funkcjonalności oparte o modele AI.
Na dzień wejścia w życie DPA Procesor korzysta z usług AI (Azure OpenAI Service) wyłącznie do analizy publicznie dostępnych dokumentów przetargowych, pobieranych ze źródeł publicznych, przy czym:

Procesor nie przesyła do usług AI Treści Usługobiorcy,
Procesor nie przesyła do usług AI danych osobowych w ramach tych procesów (zgodnie z przyjętym założeniem operacyjnym Procesora, że dokumenty te nie zawierają danych osobowych).

Procesor nie wykorzystuje danych powierzonych do trenowania własnych modeli AI ani do celów innych niż świadczenie Usługi.
Dostawca AI nie jest uprawniony do trenowania modeli na danych przekazywanych przez Procesora, zgodnie z konfiguracją i warunkami usługi wykorzystywanej przez Procesora.
Jeżeli w przyszłości Procesor wprowadzi funkcjonalność, w ramach której do usług AI mogłyby trafiać Treści Usługobiorcy lub dane osobowe, Procesor zaktualizuje DPA/Załączniki (w szczególności Załącznik A i C) oraz poinformuje Administratora zgodnie z zasadami zmiany OWU/DPA.

§ 14.

Odpowiedzialność

Każda ze Stron odpowiada za szkody wynikające z naruszenia RODO na zasadach przewidzianych w RODO i prawie właściwym, w zakresie w jakim ponosi odpowiedzialność za dane naruszenie.
W relacjach Stron ograniczenia i wyłączenia odpowiedzialności określone w OWU stosuje się w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.

§ 15.

Postanowienia końcowe

DPA podlega prawu polskiemu; w sprawach nieuregulowanych zastosowanie mają przepisy RODO i prawa właściwego.
Załączniki stanowią integralną część DPA.
DPA może być udostępniana i przechowywana w formie elektronicznej.

ZAŁĄCZNIK A – OPIS PRZETWARZANIA (art. 28 ust. 3 RODO)

Przedmiot przetwarzania: świadczenie Usługi w modelu SaaS oraz czynności niezbędne do jej utrzymania, bezpieczeństwa i wsparcia.
Czas trwania: przez okres obowiązywania Umowy oraz okres retencji 30 dni po jej zakończeniu, z zastrzeżeniem obowiązków prawnych i celów roszczeniowych.
Charakter i cel: hosting/utrzymanie danych w systemie, udostępnienie funkcjonalności, wykonywanie operacji na danych zgodnie z działaniami Użytkowników, wsparcie techniczne, kopie zapasowe, logowanie zdarzeń bezpieczeństwa.
Kategorie osób: pracownicy/współpracownicy/kontrahenci/klienci Administratora, użytkownicy końcowi – zależnie od Treści Usługobiorcy.
Kategorie danych: dane identyfikacyjne i kontaktowe, dane firmowe/organizacyjne, dane zawarte w Treściach Usługobiorcy (w tym w dokumentach), identyfikatory techniczne (np. IP, logi) w zakresie bezpieczeństwa i działania Usługi.
Operacje: utrwalanie, przechowywanie, organizowanie, przeglądanie, modyfikacja/usuwanie (przez funkcje Usługi lub na żądanie Administratora), kopiowanie (backup), odtwarzanie, ujawnianie uprawnionym użytkownikom Administratora.

ZAŁĄCZNIK B – ŚRODKI BEZPIECZEŃSTWA (minimalny standard)

Środki organizacyjne:

Polityka nadawania, zmiany i odbierania uprawnień dostępu do danych osobowych.
Zobowiązanie do zachowania poufności przez personel mający dostęp do danych osobowych oraz odpowiednie instrukcje i szkolenia wewnętrzne.
Procedury reagowania na incydenty bezpieczeństwa oraz zarządzania zmianą.
Zarządzanie ryzykiem oraz okresowe przeglądy środków bezpieczeństwa.

Środki techniczne:

Mechanizmy kontroli dostępu do systemów i danych, w tym role i uprawnienia.
Ochrona danych w trakcie transmisji poprzez stosowanie odpowiednich mechanizmów kryptograficznych (np. szyfrowanie TLS).
Stosowanie środków zapewniających dostępność i integralność danych, w tym regularne kopie zapasowe oraz procedury odtwarzania danych.
Monitorowanie i rejestrowanie zdarzeń związanych z bezpieczeństwem systemów w zakresie adekwatnym do ryzyka.

Punkt kontaktowy ds. incydentów:
pomoc@contractspot.io.

ZAŁĄCZNIK C – SUBPROCESORZY, LOKALIZACJE I TRANSFERY

Procesor korzysta z dalszych podmiotów przetwarzających („Subprocesorzy”) wyłącznie w zakresie niezbędnym do świadczenia Usługi w modelu SaaS, w szczególności w następujących kategoriach:

dostawcy infrastruktury chmurowej i hostingu,
dostawcy usług uwierzytelniania i zarządzania tożsamością użytkowników,
dostawcy usług płatniczych i rozliczeniowych,
dostawcy usług komunikacji e-mail,
dostawcy narzędzi monitoringu, logowania oraz analityki produktowej,
dostawcy usług AI wykorzystywanych wyłącznie do analizy danych pochodzących z publicznie dostępnych źródeł.

Przetwarzanie danych odbywa się zasadniczo na terytorium Europejskiego Obszaru Gospodarczego.
Administrator przyjmuje do wiadomości, że w związku z korzystaniem z niektórych Subprocesorów może dochodzić do przekazywania danych osobowych poza Europejski Obszar Gospodarczy. W takich przypadkach Procesor zapewnia zastosowanie odpowiednich mechanizmów legalizujących transfer danych zgodnie z RODO, w szczególności standardowych klauzul umownych (SCC) lub decyzji stwierdzających odpowiedni stopień ochrony, w tym EU–US Data Privacy Framework – o ile ma zastosowanie.
Aktualna lista Subprocesorów może zostać udostępniona Administratorowi na jego żądanie.
Zmiany w zakresie Subprocesorów są dokonywane zgodnie z § 9 DPA.

OGÓLNE WARUNKI UMÓW CONTRACTSPOT

§ 1.

Postanowienia ogólne

Niniejsze Ogólne Warunki Umów ContractSpot (dalej: „OWU”) określają szczegółowe warunki świadczenia przez Usługodawcę na rzecz Usługobiorcy Usługi korzystania z Aplikacji (SaaS), w szczególności zasady korzystania z Aplikacji, wsparcia, odpowiedzialności, zawieszenia, wypowiedzenia i rozwiązania Umowy oraz skutki jej zakończenia. Postanowienia OWU mają zastosowanie również do korzystania z Aplikacji w Okresie Próbnym, o ile Regulamin nie stanowi wyraźnie inaczej.
OWU stanowią wzorzec umowny w rozumieniu art. 384 Kodeksu cywilnego oraz integralną część Umowy. Usługobiorca jest zobowiązany zapoznać się z OWU przed zawarciem Umowy, a akceptacja OWU (w szczególności poprzez zaznaczenie odpowiedniego checkboxa w Aplikacji) jest warunkiem zawarcia Umowy.
Dla uniknięcia wątpliwości Strony potwierdzają, że zawarcie Umowy następuje w momentach wskazanych w Regulaminie, w tym w szczególności: (i) w Okresie Próbnym – z chwilą skutecznego potwierdzenia rejestracji, oraz (ii) w zakresie Umowy odpłatnej – z chwilą skutecznego dokonania płatności w systemie płatności.
Ilekroć OWU odsyłają do Regulaminu lub Cennika, rozumie się przez to odpowiednio: Regulamin Aplikacji ContractSpot oraz aktualny Cennik udostępniany w Aplikacji. Definicje użyte w OWU mają znaczenie nadane im w Regulaminie, o ile OWU wyraźnie nie stanowią inaczej.
W razie sprzeczności dokumentów mają zastosowanie następujące zasady pierwszeństwa:

umowa indywidualna zawarta pomiędzy Stronami,
OWU,
Regulamin,
Cennik

– chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.

Strony zgodnie oświadczają, że Umowa jest zawierana wyłącznie w związku z prowadzoną przez Usługobiorcę działalnością gospodarczą i ma dla niego charakter zawodowy.
Osoba fizyczna dokonująca czynności w imieniu Usługobiorcy, w tym zakładająca Konto, akceptująca OWU lub dokonująca płatności, oświadcza, że jest należycie umocowana do reprezentowania Usługobiorcy i działania w jego imieniu, a Usługobiorca ponosi odpowiedzialność za działania tej osoby jak za własne.
Jedynym załącznikiem do OWU jest Załącznik nr 1 – Umowa powierzenia przetwarzania danych osobowych (dalej: „DPA”), stanowiąca integralną część OWU i Umowy. W przypadku rozbieżności pomiędzy postanowieniami DPA a OWU w zakresie przetwarzania danych osobowych, pierwszeństwo mają postanowienia DPA.

§ 2.

Zakres Usługi i model świadczenia

Usługa jest świadczona w modelu SaaS, tj. poprzez umożliwienie Usługobiorcy dostępu do funkcjonalności Aplikacji i korzystania z niej za pośrednictwem sieci Internet, w zakresie wynikającym z Umowy.
Umowa nie obejmuje w szczególności:

przeniesienia na Usługobiorcę autorskich praw majątkowych do Aplikacji ani jej elementów,
udostępnienia lub wydania kodu źródłowego Aplikacji,
świadczenia usług wdrożeniowych, konsultingowych, integracyjnych lub szkoleniowych,
– chyba że Strony wyraźnie postanowią inaczej w umowie indywidualnej.

Zakres funkcjonalności Aplikacji, parametry i limity korzystania z Usługi (w tym m.in. limity ilościowe lub techniczne, zakres dostępnych modułów i dodatków) wynikają z:

wariantu (planu) wybranego przez Usługobiorcę zgodnie z Cennikiem,
ustawień Konta oraz konfiguracji wybranej przez Usługobiorcę w Aplikacji,
ewentualnych uzgodnień indywidualnych Stron.

Usługodawca może rozwijać, aktualizować, modyfikować lub zmieniać Aplikację, jej interfejs oraz jej funkcjonalności, w tym dodawać nowe funkcje lub wycofywać funkcje dotychczasowe, o ile nie narusza to istoty Usługi w zakresie wynikającym z Umowy, z zastrzeżeniem zasad zmiany Regulaminu i OWU oraz bezwzględnie obowiązujących przepisów prawa.
Usługodawca może czasowo wprowadzać ograniczenia techniczne lub funkcjonalne (w tym przerwy serwisowe) niezbędne dla utrzymania lub poprawy bezpieczeństwa, stabilności albo jakości Usługi, a także w celu usuwania awarii lub wdrażania zmian, przy czym – o ile jest to możliwe – poinformuje Usługobiorcę z wyprzedzeniem w Aplikacji lub drogą elektroniczną.

§ 3.

Wsparcie i komunikacja

Usługodawca zapewnia Usługobiorcy podstawowe wsparcie techniczne dotyczące funkcjonowania Aplikacji, w szczególności w zakresie zgłaszania i weryfikacji nieprawidłowości działania Usługi.
Wsparcie świadczone jest za pośrednictwem kanałów komunikacji wskazanych w Aplikacji lub w komunikatach Usługodawcy (np. adres e-mail, formularz zgłoszeniowy, komunikacja in-app).
Aktualne godziny dostępności wsparcia, język komunikacji oraz zasady kontaktu (w tym wymagany zakres danych w zgłoszeniu) mogą być określane i aktualizowane przez Usługodawcę w Aplikacji lub w komunikatach Usługodawcy.
W ramach wsparcia Usługodawca w szczególności:

przyjmuje zgłoszenia dotyczące błędów, awarii i nieprawidłowości działania Usługi,
udziela odpowiedzi na pytania dotyczące korzystania z Aplikacji i jej funkcjonalności w zakresie standardowego działania Usługi.

Wsparcie nie obejmuje w szczególności:

konfiguracji lub diagnostyki środowiska, urządzeń, sieci, systemów lub oprogramowania Usługobiorcy,
tworzenia lub dostosowywania integracji niestandardowych (w tym po stronie Usługobiorcy),
szkoleń, warsztatów, konsultacji prawnych, kosztorysowych, finansowych ani biznesowych,
świadczeń wykraczających poza standardowy zakres Usługi wynikający z Cennika,
– chyba że Strony wyraźnie uzgodnią inaczej w umowie indywidualnej.

Usługodawca może uzależnić rozpoczęcie lub kontynuowanie obsługi zgłoszenia od przekazania przez Usługobiorcę informacji niezbędnych do weryfikacji zgłoszenia (w szczególności: opisu problemu, okoliczności jego wystąpienia, identyfikacji Konta/środowiska, zrzutów ekranu lub logów – o ile są dostępne u Usługobiorcy).
Oświadczenia i zawiadomienia Stron związane z Umową mogą być składane drogą elektroniczną na adresy e-mail wskazane w Aplikacji lub w Umowie; wiadomość uznaje się za doręczoną z upływem 3 dni roboczych od jej wysłania, chyba że Strona wykaże, że z uzasadnionych przyczyn od niej niezależnych nie mogła się z nią zapoznać.
Usługodawca zastrzega prawo do zmiany wymagań technicznych określonych powyżej, w szczególności w związku ze zmianami technologicznymi. Zmiana w zakresie wymogów technicznych nie stanowi zmiany Regulaminu. W przypadku gdy zmiana wymagań technicznych będzie wymagała podjęcia działań przez Usługobiorcę, Usługodawca poinformuje Usługobiorcę o planowanej zmianie z wyprzedzeniem.

§ 4.

Poziom dostępności Usługi

Usługodawca świadczy Usługę z zachowaniem należytej staranności, przy uwzględnieniu zawodowego charakteru działalności Usługodawcy oraz modelu świadczenia Usługi w sieci Internet.
OWU nie ustanawiają gwarantowanego poziomu dostępności Usługi ani parametrów SLA (w tym w szczególności: procentu dostępności w skali miesiąca, maksymalnego czasu pojedynczej przerwy, czasów reakcji lub usunięcia awarii), chyba że Strony wyraźnie postanowią inaczej w umowie indywidualnej.
Usługodawca jest uprawniony do przeprowadzania prac serwisowych, konserwacyjnych, rozwojowych lub aktualizacyjnych, które mogą powodować czasowe ograniczenia dostępności lub funkcjonalności Usługi (dalej: „Przerwy Serwisowe”).
O planowanych Przerwach Serwisowych Usługodawca – o ile jest to możliwe – informuje z wyprzedzeniem w Aplikacji lub drogą elektroniczną. Brak wcześniejszego powiadomienia nie narusza Umowy, jeżeli Przerwa Serwisowa była niezbędna w szczególności ze względu na bezpieczeństwo, stabilność Usługi albo usunięcie awarii.
Przerwy Serwisowe oraz zdarzenia, o których mowa w § 12 OWU (w szczególności okoliczności wyłączające lub ograniczające odpowiedzialność Usługodawcy), nie stanowią nienależytego wykonania Umowy ani naruszenia Umowy przez Usługodawcę w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.

§ 5.

Licencja na korzystanie z Aplikacji

Z chwilą zawarcia Umowy Usługodawca udziela Usługobiorcy niewyłącznego, nieprzenoszalnego, niepodlegającego sublicencjonowaniu oraz ograniczonego do czasu trwania Umowy prawa do korzystania z Aplikacji, wyłącznie w zakresie i na warunkach wynikających z Umowy, OWU, Regulaminu oraz wybranego wariantu Usługi określonego w Cenniku.
Uprawnienie, o którym mowa w ust. 1, obejmuje korzystanie z Aplikacji przez Użytkowników działających w imieniu i na rzecz Usługobiorcy, wyłącznie na potrzeby prowadzonej przez Usługobiorcę działalności gospodarczej oraz w ramach jego wewnętrznych procesów biznesowych.
Licencja nie obejmuje prawa do:

trwałego lub czasowego zwielokrotniania Aplikacji w całości lub w części, z wyjątkiem przypadków wynikających z normalnego korzystania z Usługi,
modyfikowania, adaptowania, tłumaczenia, dekompilacji, dezasemblacji lub podejmowania innych prób odtworzenia kodu źródłowego Aplikacji, z wyjątkiem zakresu bezwzględnie dozwolonego przez przepisy prawa,
udostępniania Aplikacji osobom trzecim, w tym odpłatnie lub nieodpłatnie, w szczególności w formie outsourcingu, timesharingu, sublicencji lub odsprzedaży,
usuwania lub modyfikowania oznaczeń prawnych, informacji o prawach autorskich, znakach towarowych lub innych oznaczeń Usługodawcy.

Korzystanie z Aplikacji w sposób wykraczający poza zakres udzielonej licencji lub sprzeczny z Umową, OWU albo Regulaminem stanowi istotne naruszenie Umowy i uprawnia Usługodawcę do zastosowania środków przewidzianych w Umowie, w tym do ograniczenia lub zawieszenia dostępu do Aplikacji albo rozwiązania Umowy.
Wszelkie prawa własności intelektualnej do Aplikacji oraz jej elementów, nieudzielone wyraźnie Usługobiorcy na podstawie Umowy, pozostają przy Usługodawcy lub innych uprawnionych podmiotach.

§ 6.
Opłaty, odnowienia i płatności

Umowa odpłatna zawierana jest na czas określony odpowiadający wybranemu przez Usługobiorcę Okresowi Subskrypcji i ulega automatycznemu odnowieniu na kolejny Okres Subskrypcji, o ile Usługobiorca nie wypowie Umowy zgodnie z postanowieniami OWU.
Z tytułu świadczenia Usługi Usługobiorca zobowiązany jest do uiszczania Opłaty Subskrypcyjnej z góry, cyklicznie, za każdy Okres Subskrypcji, w wysokości oraz na zasadach określonych w aktualnym Cenniku.
Płatności dokonywane są za pośrednictwem systemów płatności udostępnionych w ramach Aplikacji. Za dzień płatności uznaje się dzień skutecznego dokonania płatności w systemie płatności.
W przypadku nieudanej płatności Usługodawca jest uprawniony do:

ponowienia próby obciążenia wybranej metody płatności,
zastosowania okresu karencji,
czasowego ograniczenia funkcjonalności Aplikacji lub zawieszenia dostępu do Usługi – do momentu skutecznego uregulowania należnych opłat.

Zmiany wysokości Opłat Subskrypcyjnych oraz zasad rozliczeń dokonywane są zgodnie z postanowieniami Regulaminu oraz Cennika i nie wpływają na wysokość opłat należnych za Okres Subskrypcji rozpoczęty przed wejściem w życie zmiany, chyba że Strony postanowią inaczej.
Akceptacja OWU stanowi wyrażenie przez Usługobiorcę zgody na wystawianie oraz przesyłanie faktur VAT w formie elektronicznej na adres poczty elektronicznej przypisany do Konta, bez konieczności składania odrębnych oświadczeń w tym zakresie.
Opłaty uiszczone przez Usługobiorcę nie podlegają zwrotowi, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa lub odmiennych postanowień umowy indywidualnej.

§ 7.
Obowiązki Usługobiorcy

Usługobiorca zobowiązuje się korzystać z Aplikacji zgodnie z Umową, OWU, Regulaminem, Cennikiem oraz obowiązującymi przepisami prawa.
Usługobiorca ponosi pełną odpowiedzialność za działania i zaniechania Użytkowników korzystających z Aplikacji w jego imieniu, jak za własne działania i zaniechania.
Usługobiorca zobowiązany jest w szczególności do:

zapewnienia, że Użytkownicy posiadają odpowiednie uprawnienia do korzystania z Aplikacji,
zabezpieczenia danych uwierzytelniających dostęp do Konta przed dostępem osób trzecich,
niezwłocznego informowania Usługodawcy o podejrzeniu nieuprawnionego dostępu do Konta lub naruszenia bezpieczeństwa,
korzystania z Aplikacji w sposób nienaruszający praw osób trzecich, w tym praw własności intelektualnej, dóbr osobistych oraz tajemnicy przedsiębiorstwa.

Usługobiorca zapewnia, że wszelkie Treści Usługobiorcy wprowadzane do Aplikacji są zgodne z prawem oraz że przysługują mu prawa niezbędne do ich wprowadzenia, przechowywania i przetwarzania w ramach Usługi.
Usługobiorca ponosi wyłączną odpowiedzialność za skutki korzystania z Aplikacji w swojej działalności gospodarczej, w tym za decyzje biznesowe, prawne lub organizacyjne podejmowane na podstawie informacji uzyskanych przy wykorzystaniu Aplikacji.
Usługobiorca zobowiązuje się nie podejmować działań, które mogłyby zakłócić prawidłowe funkcjonowanie Aplikacji, w szczególności poprzez obejście zabezpieczeń technicznych, nadmierne obciążanie systemu lub wykorzystywanie Aplikacji w sposób sprzeczny z jej przeznaczeniem.

§ 8.
Treści Usługobiorcy oraz dane

Wszelkie Treści Usługobiorcy wprowadzane, przechowywane lub przetwarzane w Aplikacji pozostają własnością Usługobiorcy lub odpowiednich podmiotów trzecich, którym przysługują do nich prawa.
Z chwilą wprowadzenia Treści Usługobiorcy do Aplikacji, Usługobiorca udziela Usługodawcy niewyłącznej, nieodpłatnej i ograniczonej do czasu trwania Umowy licencji technicznej na korzystanie z Treści Usługobiorcy wyłącznie w zakresie niezbędnym do:

świadczenia Usługi zgodnie z Umową,
utrzymania, zabezpieczenia i rozwoju Aplikacji,
realizacji obowiązków rozliczeniowych i księgowych,
obrony przed ewentualnymi roszczeniami związanymi z korzystaniem z Aplikacji.

Usługodawca nie nabywa żadnych praw do Treści Usługobiorcy poza zakresem określonym w ust. 2 oraz nie wykorzystuje Treści Usługobiorcy do innych celów, w szczególności do treningu modeli sztucznej inteligencji, chyba że Strony wyraźnie postanowią inaczej.
W zakresie, w jakim w ramach świadczenia Usługi Usługodawca przetwarza dane osobowe w imieniu Usługobiorcy, Strony zawierają umowę powierzenia przetwarzania danych osobowych stanowiącą Załącznik nr 1 do OWU (DPA).
DPA określa w szczególności przedmiot, czas trwania, charakter i cel przetwarzania danych osobowych, kategorie danych i osób, środki bezpieczeństwa, zasady korzystania z podwykonawców (subprocesorów) oraz zasady postępowania po zakończeniu przetwarzania.
Informacje dotyczące przetwarzania danych osobowych przez Usługodawcę jako administratora danych, w szczególności w zakresie danych identyfikacyjnych, kontaktowych i rozliczeniowych Usługobiorców, określa odrębna Polityka Prywatności.
Usługodawca nie ponosi odpowiedzialności za Treści Usługobiorcy wprowadzane do Aplikacji ani za skutki ich wykorzystania przez Usługobiorcę, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa.

§ 9.
Podwykonawcy

Usługodawca jest uprawniony do korzystania przy wykonywaniu Umowy z podwykonawców (w tym dalszych podwykonawców), w szczególności dostawców infrastruktury chmurowej, hostingu, usług komunikacyjnych, narzędzi analitycznych oraz systemów płatności, o ile jest to niezbędne lub uzasadnione dla świadczenia Usługi, jej utrzymania, rozwoju lub zapewnienia bezpieczeństwa.
Powierzenie wykonania określonych czynności podwykonawcom nie zwalnia Usługodawcy z odpowiedzialności za należyte wykonanie Umowy, z zastrzeżeniem postanowień OWU dotyczących ograniczenia lub wyłączenia odpowiedzialności.
W zakresie, w jakim w ramach korzystania z podwykonawców dochodzi do powierzenia przetwarzania danych osobowych w rozumieniu RODO (korzystanie z subprocesorów), zastosowanie mają postanowienia DPA, w tym w szczególności dotyczące zasad korzystania z subprocesorów oraz trybu informowania o ich zmianach.
Usługobiorca przyjmuje do wiadomości, że niektóre elementy Usługi mogą zależeć od usług świadczonych przez podmioty trzecie (w szczególności dostawców infrastruktury, hostingu lub usług płatniczych), a zakłócenia po stronie tych podmiotów mogą wpływać na dostępność lub działanie Usługi, co – zgodnie z postanowieniami § 4 oraz § 12 OWU – nie stanowi nienależytego wykonania Umowy przez Usługodawcę.

§ 10.
Sztuczna inteligencja (AI)

Usługodawca informuje, że Aplikacja może wykorzystywać funkcjonalności oparte o modele sztucznej inteligencji (AI), zgodnie z zasadami określonymi w Regulaminie, w szczególności w zakresie wskazanym w postanowieniach Regulaminu dotyczących wykorzystania AI.
Usługobiorca przyjmuje do wiadomości, że wyniki generowane przy wykorzystaniu AI mogą zawierać błędy, nieścisłości lub braki i wymagają każdorazowej weryfikacji przez człowieka przed ich wykorzystaniem, a Usługodawca nie gwarantuje poprawności, kompletności ani przydatności takich wyników do konkretnego celu Usługobiorcy.
Postanowienia OWU nie ustanawiają dodatkowych gwarancji, zapewnień ani poziomów usług (SLA) dotyczących funkcjonalności AI ani nie stanowią zobowiązania Usługodawcy do zapewnienia określonej jakości, wydajności lub efektywności wyników generowanych przy wykorzystaniu AI.
W zakresie, w jakim korzystanie z funkcjonalności AI wiąże się z przetwarzaniem danych osobowych w imieniu Usługobiorcy, zasady takiego przetwarzania, w tym ewentualne korzystanie z subprocesorów, określa DPA.
Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, Usługodawca nie ponosi odpowiedzialności za decyzje lub działania Usługobiorcy podjęte na podstawie wyników generowanych przy wykorzystaniu AI ani za skutki wykorzystania tych wyników w działalności Usługobiorcy.

§ 11.
Poufność

Na potrzeby Umowy „Informacje Poufne” oznaczają wszelkie informacje przekazywane lub ujawniane przez jedną ze Stron drugiej Stronie w związku z zawarciem lub wykonywaniem Umowy, niezależnie od formy ich przekazania (w szczególności informacje techniczne, technologiczne, handlowe, organizacyjne, finansowe, dane dotyczące klientów, strategii, procesów biznesowych, dokumentacji oraz Treści Usługobiorcy), które nie są publicznie dostępne.
Strony zobowiązują się do zachowania w poufności Informacji Poufnych oraz do wykorzystywania ich wyłącznie w celu wykonania Umowy.
Obowiązek zachowania poufności nie dotyczy informacji, które:

były publicznie dostępne w chwili ich ujawnienia lub stały się publicznie dostępne w sposób niezależny od Strony zobowiązanej do zachowania poufności,
zostały ujawnione na podstawie bezwzględnie obowiązujących przepisów prawa lub prawomocnego orzeczenia sądu albo decyzji uprawnionego organu,
zostały ujawnione za uprzednią, wyraźną zgodą Strony, której dotyczą.

Strona otrzymująca Informacje Poufne może ujawnić je wyłącznie swoim pracownikom, współpracownikom, podwykonawcom lub doradcom, w zakresie niezbędnym do wykonania Umowy, pod warunkiem zapewnienia, że osoby te są zobowiązane do zachowania poufności w stopniu nie mniejszym niż wynikający z OWU.
Obowiązek zachowania poufności obowiązuje przez cały okres obowiązywania Umowy, a po jej zakończeniu przez okres 3 (trzech) lat, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.
Postanowienia niniejszego paragrafu nie naruszają obowiązków Stron wynikających z Umowy powierzenia przetwarzania danych osobowych (DPA) ani Polityki Prywatności.

§ 12.

Odpowiedzialność i poziom usług

Usługodawca zobowiązuje się świadczyć Usługi z dochowaniem należytej staranności.
Usługodawca nie gwarantuje określonego poziomu wydajności, efektywności lub użyteczności Aplikacji w relacji do konkretnych potrzeb i zastosowań Usługobiorcy.
Strony wyłączają odpowiedzialność Usługodawcy z tytułu utraconych korzyści Usługobiorcy będącego Przedsiębiorcą, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.
Na podstawie art. 558 § 1 Kodeksu cywilnego Strony wyłączają odpowiedzialność Usługodawcy z tytułu rękojmi za wady fizyczne i prawne Aplikacji oraz Usługi, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.
W zakresie dozwolonym przez przepisy Kodeksu cywilnego Usługodawca nie ponosi wobec Usługobiorcy odpowiedzialności za skutki:
1. wykorzystywania przez Usługobiorców jakichkolwiek usług lub funkcjonalności dostępnych w ramach Aplikacji niezgodnie z ich przeznaczeniem,
2. podania przez Usługobiorców nieprawidłowych lub nieprawdziwych danych,
3. skutki wykorzystania danych autoryzujących dostęp do Konta przez osoby trzecie, jeżeli osoby te weszły w posiadanie tych danych na skutek ich ujawnienia przez Usługobiorców albo na skutek ich niedostatecznego zabezpieczenia przez Usługobiorców przed dostępem takich osób.
W zakresie dozwolonym przez przepisy Kodeksu cywilnego Usługodawca nie ponosi odpowiedzialności za zakłócenia w funkcjonowaniu Aplikacji wynikające z:
1. działania siły wyższej (za którą uznaje się także niedostępność API kluczowych dostawców zewnętrznych usług czy zakaz używania konkretnych modeli AI przez organy nadzorcze),
2. prowadzonych w Aplikacji niezbędnych prac serwisowych,
3. przyczyn leżących po stronie Usługobiorcy,
4. przyczyn niezależnych od Usługodawcy, w szczególności działania osób trzecich, za które Usługodawca nie ponosi odpowiedzialności.
Zakłócenia, o których mowa w niniejszym paragrafie, nie stanowią nienależytego wykonania Umowy w rozumieniu § 4 OWU.
Usługodawca zobowiązuje się przeprowadzać prace, o których mowa w ust. 6 pkt 2 powyżej, w sposób możliwie najmniej uciążliwy dla Usługobiorców oraz w miarę możliwości z wyprzedzeniem informować ich o planowanych pracach.
Usługodawca zobowiązuje się w miarę możliwości na bieżąco usuwać zakłócenia w funkcjonowaniu Aplikacji.
Z zastrzeżeniem szkód wyrządzonych przez Usługodawcę umyślnie oraz bezwzględnie obowiązujących przepisów prawa, łączna odpowiedzialność Usługodawcy wobec Usługobiorcy, niezależnie od podstawy prawnej, jest ograniczona do łącznej wysokości Opłat Subskrypcyjnych faktycznie zapłaconych przez Usługobiorcę na rzecz Usługodawcy w okresie 12 (dwunastu) miesięcy poprzedzających zdarzenie powodujące odpowiedzialność.
Usługodawca może czasowo ograniczyć dostęp do Aplikacji lub Konta, a w uzasadnionych przypadkach zawiesić lub zakończyć świadczenie Usługi, jeżeli jest to niezbędne ze względów bezpieczeństwa, stabilności Aplikacji lub w przypadku naruszenia przez Usługobiorcę postanowień Regulaminu, OWU lub przepisów prawa, zgodnie z zasadami określonymi w dalszych postanowieniach OWU.
Usługobiorca zobowiązuje się zwolnić Usługodawcę z odpowiedzialności oraz pokryć uzasadnione koszty, szkody i wydatki (w tym koszty obsługi prawnej) poniesione przez Usługodawcę w związku z roszczeniami osób trzecich wynikającymi z: (i) naruszenia przez Usługobiorcę lub Użytkowników Umowy, OWU, Regulaminu lub prawa, lub (ii) Treści Usługobiorcy, w szczególności w zakresie naruszenia praw własności intelektualnej lub dóbr osobistych – chyba że roszczenia wynikają z wyłącznej winy Usługodawcy.

§ 13.
Zawieszenie i ograniczenie dostępu

Usługodawca może czasowo ograniczyć dostęp do Aplikacji lub Konta, w tym w szczególności zastosować ograniczenia funkcjonalne (np. tryb odczytu), a w uzasadnionych przypadkach zawiesić świadczenie Usługi wobec Usługobiorcy (dalej łącznie: „Ograniczenie”), jeżeli:

jest to niezbędne dla zapewnienia bezpieczeństwa Aplikacji, Konta, Treści Usługobiorcy lub infrastruktury Usługodawcy,
jest to niezbędne dla zapewnienia stabilności lub integralności Aplikacji albo dla zapobieżenia awarii lub usunięcia awarii,
Usługobiorca lub Użytkownik narusza Umowę, OWU, Regulamin, Cennik albo przepisy prawa, w szczególności poprzez działania mogące zakłócić działanie Aplikacji, naruszać bezpieczeństwo lub prawa osób trzecich,
zachodzi opóźnienie w płatności Opłaty Subskrypcyjnej lub innych należności na rzecz Usługodawcy,
jest to wymagane przez bezwzględnie obowiązujące przepisy prawa, decyzję lub żądanie uprawnionego organu.

W przypadku naruszeń możliwych do usunięcia, przed zastosowaniem Ograniczenia Usługodawca może wezwać Usługobiorcę do zaprzestania naruszeń lub usunięcia ich skutków w wyznaczonym terminie. Postanowienie zdania poprzedzającego nie ma zastosowania, jeżeli natychmiastowe Ograniczenie jest konieczne ze względów bezpieczeństwa, dla zapobieżenia powstaniu szkody lub w celu zapewnienia stabilności Aplikacji.
Zakres i czas trwania Ograniczenia powinny być adekwatne do charakteru i wagi przyczyny Ograniczenia. Usługodawca, o ile jest to możliwe, informuje Usługobiorcę o zastosowaniu Ograniczenia oraz o przyczynie jego zastosowania.
Ograniczenie lub zawieszenie dostępu do Aplikacji nie narusza prawa Usługobiorcy do dostępu do Treści Usługobiorcy w zakresie przewidzianym w Umowie, w tym w § 15 OWU oraz w DPA, chyba że taki dostęp jest niemożliwy lub wymaga czasowego wstrzymania ze względów bezpieczeństwa albo wynika z przepisów prawa lub decyzji uprawnionego organu.
W okresie Ograniczenia lub zawieszenia świadczenia Usługi obowiązek uiszczania Opłaty Subskrypcyjnej nie ulega zawieszeniu, o ile Ograniczenie lub zawieszenie nastąpiło z przyczyn leżących po stronie Usługobiorcy.

§ 14.
Czas trwania, wypowiedzenie i rozwiązanie Umowy

Umowa zostaje zawarta na czas określony odpowiadający Okresowi Subskrypcji wybranemu przez Usługobiorcę i ulega automatycznemu odnowieniu na kolejny Okres Subskrypcji, zgodnie z § 6 OWU, o ile nie zostanie skutecznie wypowiedziana.
Usługobiorca może wypowiedzieć Umowę ze skutkiem na koniec bieżącego Okresu Subskrypcji w każdym czasie przed jego upływem, poprzez złożenie oświadczenia o wypowiedzeniu w Aplikacji (za pomocą dostępnych funkcjonalności). Wypowiedzenie złożone po skutecznym odnowieniu Umowy na kolejny Okres Subskrypcji wywołuje skutek na koniec kolejnego Okresu Subskrypcji.
Usługodawca może wypowiedzieć Umowę ze skutkiem na koniec bieżącego Okresu Subskrypcji z ważnych przyczyn, w szczególności w razie zakończenia świadczenia Usługi lub istotnej zmiany modelu świadczenia Usługi.
Każda ze Stron może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia Umowy przez drugą Stronę, jeżeli naruszenie nie zostanie usunięte w terminie 7 (siedmiu) dni od dnia otrzymania wezwania do usunięcia naruszenia, chyba że natychmiastowe rozwiązanie jest uzasadnione charakterem naruszenia.
Usługodawca może rozwiązać Umowę ze skutkiem natychmiastowym, bez wyznaczania terminu, jeżeli:

Usługobiorca dopuszcza się rażącego naruszenia bezpieczeństwa Aplikacji lub prób obejścia zabezpieczeń,
Usługobiorca korzysta z Aplikacji w sposób naruszający prawa własności intelektualnej Usługodawcy lub osób trzecich,
opóźnienie Usługobiorcy w płatności Opłaty Subskrypcyjnej przekracza 14 (czternaście) dni od dnia jej wymagalności,
dalsze świadczenie Usługi stało się niemożliwe lub niezgodne z prawem z przyczyn niezależnych od Usługodawcy (w szczególności na skutek decyzji organu lub zmiany przepisów).

Wypowiedzenie lub rozwiązanie Umowy nie wpływa na ważność postanowień, które ze swej natury pozostają w mocy po zakończeniu Umowy, w szczególności postanowień dotyczących poufności, odpowiedzialności, praw własności intelektualnej oraz zasad postępowania z danymi po zakończeniu Umowy.

§ 15.
Skutki zakończenia Umowy

Z dniem rozwiązania lub wygaśnięcia Umowy, niezależnie od przyczyny, Usługobiorca traci prawo do korzystania z Aplikacji oraz dostęp do Konta i funkcjonalności Usługi.
Po zakończeniu Umowy Usługodawca może przechowywać Treści Usługobiorcy oraz dane przez okres do 30 dni , w zakresie i przez czas niezbędny do:

wykonania obowiązków wynikających z bezwzględnie obowiązujących przepisów prawa,
rozliczeń pomiędzy Stronami,
zabezpieczenia lub dochodzenia roszczeń.

Po upływie okresu retencji, o którym mowa w ust. 2, Usługodawca jest uprawniony do trwałego usunięcia Treści Usługobiorcy oraz danych przechowywanych w ramach Usługi, bez obowiązku ich dalszego przechowywania lub archiwizacji, o ile bezwzględnie obowiązujące przepisy prawa nie stanowią inaczej.
Na indywidualny wniosek Usługobiorcy, złożony przed usunięciem Treści Usługobiorcy, Usługodawca może umożliwić eksport danych lub zapewnić wsparcie migracyjne, na warunkach każdorazowo uzgodnionych przez Strony, w tym w szczególności odpłatnie.
Zakończenie Umowy nie wpływa na ważność postanowień OWU, które ze swojej natury obowiązują po jej zakończeniu, w szczególności postanowień dotyczących poufności, odpowiedzialności, praw własności intelektualnej oraz zasad przetwarzania danych osobowych.
Zakończenie Umowy nie uprawnia Usługobiorcy do żądania zwrotu uiszczonych Opłat Subskrypcyjnych, w tym opłat za okres subskrypcji niewykorzystany na skutek wypowiedzenia lub rozwiązania Umowy.

§ 16.
Zmiana OWU

Usługodawca jest uprawniony do zmiany OWU z ważnych przyczyn, w szczególności w przypadku:

zmiany przepisów prawa mających wpływ na treść OWU lub świadczenie Usługi,
zmiany zakresu, modelu lub sposobu świadczenia Usługi,
wprowadzenia nowych funkcjonalności lub modyfikacji istniejących funkcjonalności Aplikacji,
zmiany warunków współpracy z podwykonawcami lub dostawcami usług wykorzystywanych przy świadczeniu Usługi,
konieczności doprecyzowania lub ujednolicenia postanowień OWU.

O zmianie OWU Usługodawca informuje Usługobiorcę z wyprzedzeniem co najmniej 14 (czternastu) dni przed wejściem zmian w życie, poprzez publikację zmienionej treści OWU w Aplikacji lub przekazanie informacji drogą elektroniczną.
Usługobiorca, który nie akceptuje zmian OWU, jest uprawniony do wypowiedzenia Umowy ze skutkiem na koniec bieżącego Okresu Subskrypcji, składając stosowne oświadczenie przed dniem wejścia zmian w życie.
Brak wypowiedzenia Umowy przed dniem wejścia w życie zmian oraz dalsze korzystanie z Usługi po tym dniu oznacza akceptację zmienionej treści OWU.
Zmiany OWU nie naruszają praw nabytych Usługobiorcy w odniesieniu do Okresu Subskrypcji rozpoczętego przed dniem wejścia w życie zmian, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.

§ 17.
Postanowienia końcowe

Do Umowy oraz OWU zastosowanie ma prawo polskie.
Strony zgodnie postanawiają, że wszelkie spory wynikające z Umowy lub pozostające w związku z jej zawarciem, wykonywaniem lub rozwiązaniem podlegają rozstrzygnięciu zgodnie z zasadami określonymi w § 13 Regulaminu, w tym w drodze arbitrażu.
W zakresie, w jakim zgodnie z bezwzględnie obowiązującymi przepisami prawa konieczne jest wystąpienie do sądu powszechnego, właściwy jest sąd powszechny miejscowo właściwy dla siedziby Usługodawcy.
Jeżeli którekolwiek z postanowień OWU okaże się nieważne, bezskuteczne lub niewykonalne, nie wpływa to na ważność pozostałych postanowień OWU. W miejsce nieważnego lub bezskutecznego postanowienia Strony przyjmują postanowienie możliwie najbliższe celowi gospodarczemu pierwotnego postanowienia.
W sprawach nieuregulowanych w Umowie oraz OWU zastosowanie mają przepisy powszechnie obowiązującego prawa polskiego.
OWU obowiązują od dnia ich opublikowania w Aplikacji i mają zastosowanie do Umów zawieranych od tego dnia, chyba że Strony postanowią inaczej w umowie indywidualnej.

Załącznik nr 1 do Ogólnych Warunków Umów ContractSpot

UMOWA POWIERZENIA DANYCH (DPA)

§ 1.

Strony, status i zawarcie Umowy

Niniejsza Umowa powierzenia przetwarzania danych osobowych („DPA”) zostaje zawarta pomiędzy:

Usługobiorcą – jako administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO („Administrator”), oraz
Usługodawcą – jako podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO („Procesor”).

DPA stanowi integralną część Umowy/OWU i zostaje zawarta w formie elektronicznej (art. 28 ust. 9 RODO) poprzez akceptację OWU (w tym DPA) w Aplikacji. Dowodem zawarcia DPA mogą być w szczególności logi systemowe Procesora.
Pojęcia niezdefiniowane w DPA mają znaczenie nadane im w OWU/Regulaminie, chyba że DPA stanowi inaczej.
W razie sprzeczności DPA z OWU w zakresie przetwarzania danych osobowych pierwszeństwo ma DPA.

§ 2.

Przedmiot, czas trwania i zakres powierzenia

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia Usługi w modelu SaaS.
Przetwarzanie trwa przez czas obowiązywania Umowy oraz – w zakresie niezbędnym – przez okres retencji opisany w § 12, a także przez czas wymagany bezwzględnie obowiązującymi przepisami prawa.
Szczegółowy opis kategorii osób, danych, celów i operacji przetwarzania określa Załącznik A (Opis Przetwarzania).

§ 3.

Charakter i cel przetwarzania

Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia Usługi, w tym w szczególności:

świadczenia i utrzymania Usługi, zapewnienia jej bezpieczeństwa i ciągłości działania,
realizacji czynności wsparcia technicznego (support), diagnostyki i usuwania awarii,
wykonywania kopii zapasowych, odtwarzania, testowania, monitoringu i logowania zdarzeń w zakresie adekwatnym do bezpieczeństwa i działania Usługi,
zapobiegania nadużyciom oraz naruszeniom bezpieczeństwa.

Procesor nie przetwarza danych powierzonych dla własnych celów jako administrator, z wyjątkiem przypadków, gdy wynika to z bezwzględnie obowiązujących przepisów prawa.
Niezależnie od powyższego, w zakresie danych niezbędnych do rozliczeń, fakturowania, obsługi płatności, dochodzenia lub obrony roszczeń związanych z rozliczeniami, a także w zakresie obowiązków prawnych ciążących na Procesorze (np. podatkowych) – Procesor może występować jako odrębny administrator danych, na zasadach opisanych w Polityce Prywatności (nie w ramach niniejszej DPA).

§ 4.

Polecenia Administratora

Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, w tym w szczególności wynikające z Umowy, OWU, Regulaminu oraz konfiguracji Usługi dokonanej przez Administratora w Aplikacji.
Jeżeli Procesor uzna, że polecenie narusza RODO lub inne przepisy o ochronie danych, niezwłocznie poinformuje Administratora, o ile prawo nie zakazuje takiego poinformowania.
Jeżeli obowiązek przetwarzania wynika z prawa Unii lub prawa polskiego, Procesor poinformuje o tym Administratora (o ile prawo nie zabrania), zanim przetwarzanie nastąpi.

§ 5.

Poufność i upoważnienia

Procesor zapewnia, aby osoby upoważnione do przetwarzania danych (pracownicy, współpracownicy) zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi poufności.
Procesor ogranicza dostęp do danych do osób, dla których jest to niezbędne do realizacji Umowy, zgodnie z zasadą najmniejszych uprawnień.

§ 6.

Bezpieczeństwo przetwarzania (art. 32 RODO)

Procesor wdraża odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania.
Minimalny katalog środków bezpieczeństwa (organizacyjnych i technicznych) opisuje Załącznik B (Środki Bezpieczeństwa), obejmujący co najmniej:

kontrolę dostępu (role/uprawnienia),
szyfrowanie transmisji (np. TLS/HTTPS) oraz – o ile adekwatne – szyfrowanie danych w spoczynku,
kopie zapasowe i odtwarzanie,
rejestrowanie zdarzeń (logi) w zakresie adekwatnym do bezpieczeństwa,
aktualizacje i zarządzanie podatnościami,
separację środowisk/tenancy w zakresie adekwatnym do architektury Usługi.

Procesor może aktualizować środki bezpieczeństwa, o ile nie obniża to poziomu bezpieczeństwa poniżej poziomu adekwatnego do ryzyka.

§ 7.

Naruszenia ochrony danych (incydenty)

Procesor, bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego danych powierzonych (dalej: „Naruszenie”), informuje Administratora o Naruszeniu w zakresie niezbędnym do wykonania przez Administratora obowiązków wynikających z art. 33–34 RODO.
Informacja o Naruszeniu może zostać przekazana etapowo: w pierwszej kolejności jako powiadomienie wstępne, a następnie – w miarę ustalania okoliczności – jako informacje uzupełniające.
Zgłoszenie Naruszenia powinno obejmować w szczególności, o ile informacje te są dostępne:

opis charakteru Naruszenia (w tym kategorie i przybliżona liczba rekordów),
możliwe konsekwencje,
środki zastosowane lub proponowane w celu zaradzenia Naruszeniu i minimalizacji skutków,
punkt kontaktu po stronie Procesora.

Procesor prowadzi rejestr Naruszeń dotyczących danych powierzonych, w zakresie wymaganym przez RODO.

§ 8.

Pomoc Procesora dla Administratora

Z uwzględnieniem charakteru przetwarzania Procesor pomaga Administratorowi w wywiązywaniu się z obowiązków dotyczących:

realizacji praw osób, których dane dotyczą (art. 12–22 RODO),
bezpieczeństwa przetwarzania (art. 32 RODO),
zgłaszania Naruszeń (art. 33–34 RODO),
oceny skutków dla ochrony danych (DPIA) i konsultacji z organem nadzorczym (art. 35–36 RODO) – w zakresie dotyczącym Usługi.

Jeżeli osoba, której dane dotyczą, skieruje żądanie bezpośrednio do Procesora w odniesieniu do danych powierzonych, Procesor (o ile prawo nie stanowi inaczej) przekaże żądanie Administratorowi bez zbędnej zwłoki.

§ 9.

Subprocesorzy (podpowierzenie)

Administrator udziela Procesorowi ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających („Subprocesorzy”) w zakresie niezbędnym do świadczenia Usługi (np. hosting, chmura, uwierzytelnianie, narzędzia komunikacji, systemy płatności, monitoring, analityka produktowa).
Procesor zapewnia, że na Subprocesora nałożone zostaną obowiązki co najmniej równoważne obowiązkom wynikającym z niniejszej DPA, w szczególności w zakresie bezpieczeństwa i poufności.
Kategorie Subprocesorów, informacje o lokalizacjach przetwarzania oraz zasadach transferów określa Załącznik C. Aktualna lista Subprocesorów może być udostępniana Administratorowi na jego żądanie.
O planowanej zmianie Subprocesora (dodaniu lub zastąpieniu) Procesor poinformuje Administratora – o ile jest to możliwe – poprzez komunikat w Aplikacji lub drogą elektroniczną, zapewniając możliwość wniesienia uzasadnionego sprzeciwu w terminie 14 dni od powiadomienia.
W przypadku wniesienia uzasadnionego sprzeciwu Strony podejmą próbę uzgodnienia rozwiązania alternatywnego; jeżeli nie będzie to możliwe, Administrator może wypowiedzieć Umowę zgodnie z OWU.

§ 10.

Transfery do państw trzecich

Jeżeli w związku ze świadczeniem Usługi dojdzie do przekazania danych powierzonych do państwa trzeciego lub organizacji międzynarodowej, Procesor zapewni, że przekazanie nastąpi na podstawie właściwej podstawy legalizującej, w szczególności:

decyzji stwierdzającej odpowiedni stopień ochrony, albo
standardowych klauzul umownych (SCC), wraz z dodatkowymi środkami (o ile wymagane), albo
innego mechanizmu dopuszczonego przez RODO (np. EU–US Data Privacy Framework, jeżeli dotyczy danego dostawcy).

Informacja o lokalizacjach przetwarzania oraz transferach (o ile dotyczy) jest wskazana w Załączniku C oraz może być udostępniana w Aplikacji lub dokumentacji Usługi.

§ 11.

Audyt i informacje (rozliczalność)

Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO, w zakresie dotyczącym Usługi.
Administrator ma prawo przeprowadzić audyt zgodności Procesora z DPA, nie częściej niż raz w roku, z zachowaniem:

co najmniej 30 dni wyprzedzenia,
obowiązku poufności,
ograniczenia audytu do zakresu danych powierzonych i Usługi.

Audyt może zostać zrealizowany w pierwszej kolejności poprzez:

weryfikację dokumentacji i odpowiedzi na kwestionariusz,
aktualne raporty/atestacje bezpieczeństwa (jeżeli Procesor je posiada),
zdalny przegląd dowodów zgodności.

Audyt na miejscu jest dopuszczalny wyłącznie, gdy forma zdalna jest niewystarczająca do weryfikacji istotnego ryzyka i nie narusza bezpieczeństwa innych klientów Procesora ani tajemnicy przedsiębiorstwa.
Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie DPA po stronie Procesora.

§ 12.

Zakończenie przetwarzania, zwrot/usunięcie danych (Exit/Retencja)

Po zakończeniu Umowy Procesor – według wyboru Administratora zgłoszonego przed upływem retencji:

umożliwi Administratorowi eksport danych w zakresie i formacie wspieranym przez Usługę, a następnie usunie dane, albo
usunie dane bez eksportu, jeżeli Administrator nie dokona eksportu w okresie retencji.

Okres retencji danych powierzonych po zakończeniu Umowy wynosi 30 (trzydzieści) dni od dnia wygaśnięcia/rozwiązania Umowy. Po upływie retencji Procesor jest uprawniony do trwałego usunięcia danych.
Procesor może zachować dane w zakresie niezbędnym do wypełnienia obowiązków prawnych lub ustalenia, dochodzenia lub obrony roszczeń – przez czas niezbędny do tych celów.
Usunięcie obejmuje systemy produkcyjne i – w miarę możliwości technicznych – kopie robocze; kopie zapasowe mogą być nadpisywane zgodnie z cyklem backupu wskazanym w Załączniku B.

§ 13.

Funkcjonalności AI

Administrator przyjmuje do wiadomości, że w ramach Usługi mogą występować funkcjonalności oparte o modele AI.
Na dzień wejścia w życie DPA Procesor korzysta z usług AI (Azure OpenAI Service) wyłącznie do analizy publicznie dostępnych dokumentów przetargowych, pobieranych ze źródeł publicznych, przy czym:

Procesor nie przesyła do usług AI Treści Usługobiorcy,
Procesor nie przesyła do usług AI danych osobowych w ramach tych procesów (zgodnie z przyjętym założeniem operacyjnym Procesora, że dokumenty te nie zawierają danych osobowych).

Procesor nie wykorzystuje danych powierzonych do trenowania własnych modeli AI ani do celów innych niż świadczenie Usługi.
Dostawca AI nie jest uprawniony do trenowania modeli na danych przekazywanych przez Procesora, zgodnie z konfiguracją i warunkami usługi wykorzystywanej przez Procesora.
Jeżeli w przyszłości Procesor wprowadzi funkcjonalność, w ramach której do usług AI mogłyby trafiać Treści Usługobiorcy lub dane osobowe, Procesor zaktualizuje DPA/Załączniki (w szczególności Załącznik A i C) oraz poinformuje Administratora zgodnie z zasadami zmiany OWU/DPA.

§ 14.

Odpowiedzialność

Każda ze Stron odpowiada za szkody wynikające z naruszenia RODO na zasadach przewidzianych w RODO i prawie właściwym, w zakresie w jakim ponosi odpowiedzialność za dane naruszenie.
W relacjach Stron ograniczenia i wyłączenia odpowiedzialności określone w OWU stosuje się w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.

§ 15.

Postanowienia końcowe

DPA podlega prawu polskiemu; w sprawach nieuregulowanych zastosowanie mają przepisy RODO i prawa właściwego.
Załączniki stanowią integralną część DPA.
DPA może być udostępniana i przechowywana w formie elektronicznej.

ZAŁĄCZNIK A – OPIS PRZETWARZANIA (art. 28 ust. 3 RODO)

Przedmiot przetwarzania: świadczenie Usługi w modelu SaaS oraz czynności niezbędne do jej utrzymania, bezpieczeństwa i wsparcia.
Czas trwania: przez okres obowiązywania Umowy oraz okres retencji 30 dni po jej zakończeniu, z zastrzeżeniem obowiązków prawnych i celów roszczeniowych.
Charakter i cel: hosting/utrzymanie danych w systemie, udostępnienie funkcjonalności, wykonywanie operacji na danych zgodnie z działaniami Użytkowników, wsparcie techniczne, kopie zapasowe, logowanie zdarzeń bezpieczeństwa.
Kategorie osób: pracownicy/współpracownicy/kontrahenci/klienci Administratora, użytkownicy końcowi – zależnie od Treści Usługobiorcy.
Kategorie danych: dane identyfikacyjne i kontaktowe, dane firmowe/organizacyjne, dane zawarte w Treściach Usługobiorcy (w tym w dokumentach), identyfikatory techniczne (np. IP, logi) w zakresie bezpieczeństwa i działania Usługi.
Operacje: utrwalanie, przechowywanie, organizowanie, przeglądanie, modyfikacja/usuwanie (przez funkcje Usługi lub na żądanie Administratora), kopiowanie (backup), odtwarzanie, ujawnianie uprawnionym użytkownikom Administratora.

ZAŁĄCZNIK B – ŚRODKI BEZPIECZEŃSTWA (minimalny standard)

Środki organizacyjne:

Polityka nadawania, zmiany i odbierania uprawnień dostępu do danych osobowych.
Zobowiązanie do zachowania poufności przez personel mający dostęp do danych osobowych oraz odpowiednie instrukcje i szkolenia wewnętrzne.
Procedury reagowania na incydenty bezpieczeństwa oraz zarządzania zmianą.
Zarządzanie ryzykiem oraz okresowe przeglądy środków bezpieczeństwa.

Środki techniczne:

Mechanizmy kontroli dostępu do systemów i danych, w tym role i uprawnienia.
Ochrona danych w trakcie transmisji poprzez stosowanie odpowiednich mechanizmów kryptograficznych (np. szyfrowanie TLS).
Stosowanie środków zapewniających dostępność i integralność danych, w tym regularne kopie zapasowe oraz procedury odtwarzania danych.
Monitorowanie i rejestrowanie zdarzeń związanych z bezpieczeństwem systemów w zakresie adekwatnym do ryzyka.

Punkt kontaktowy ds. incydentów:
pomoc@contractspot.io.

ZAŁĄCZNIK C – SUBPROCESORZY, LOKALIZACJE I TRANSFERY

Procesor korzysta z dalszych podmiotów przetwarzających („Subprocesorzy”) wyłącznie w zakresie niezbędnym do świadczenia Usługi w modelu SaaS, w szczególności w następujących kategoriach:

dostawcy infrastruktury chmurowej i hostingu,
dostawcy usług uwierzytelniania i zarządzania tożsamością użytkowników,
dostawcy usług płatniczych i rozliczeniowych,
dostawcy usług komunikacji e-mail,
dostawcy narzędzi monitoringu, logowania oraz analityki produktowej,
dostawcy usług AI wykorzystywanych wyłącznie do analizy danych pochodzących z publicznie dostępnych źródeł.

Przetwarzanie danych odbywa się zasadniczo na terytorium Europejskiego Obszaru Gospodarczego.
Administrator przyjmuje do wiadomości, że w związku z korzystaniem z niektórych Subprocesorów może dochodzić do przekazywania danych osobowych poza Europejski Obszar Gospodarczy. W takich przypadkach Procesor zapewnia zastosowanie odpowiednich mechanizmów legalizujących transfer danych zgodnie z RODO, w szczególności standardowych klauzul umownych (SCC) lub decyzji stwierdzających odpowiedni stopień ochrony, w tym EU–US Data Privacy Framework – o ile ma zastosowanie.
Aktualna lista Subprocesorów może zostać udostępniona Administratorowi na jego żądanie.
Zmiany w zakresie Subprocesorów są dokonywane zgodnie z § 9 DPA.

Ogólne Warunki Umów ContractSpot

Postanowienia ogólne

Zakres Usługi i model świadczenia

Wsparcie i komunikacja

Poziom dostępności Usługi

Licencja na korzystanie z Aplikacji

Odpowiedzialność i poziom usług

Strony, status i zawarcie Umowy

Przedmiot, czas trwania i zakres powierzenia

Charakter i cel przetwarzania

Polecenia Administratora

Poufność i upoważnienia

Bezpieczeństwo przetwarzania (art. 32 RODO)

Naruszenia ochrony danych (incydenty)

Pomoc Procesora dla Administratora

Subprocesorzy (podpowierzenie)

Transfery do państw trzecich

Audyt i informacje (rozliczalność)

Zakończenie przetwarzania, zwrot/usunięcie danych (Exit/Retencja)

Funkcjonalności AI

Odpowiedzialność

Postanowienia końcowe

Ogólne Warunki Umów ContractSpot

Postanowienia ogólne

Zakres Usługi i model świadczenia

Wsparcie i komunikacja

Poziom dostępności Usługi

Licencja na korzystanie z Aplikacji

Odpowiedzialność i poziom usług

Strony, status i zawarcie Umowy

Przedmiot, czas trwania i zakres powierzenia

Charakter i cel przetwarzania

Polecenia Administratora

Poufność i upoważnienia

Bezpieczeństwo przetwarzania (art. 32 RODO)

Naruszenia ochrony danych (incydenty)

Pomoc Procesora dla Administratora

Subprocesorzy (podpowierzenie)

Transfery do państw trzecich

Audyt i informacje (rozliczalność)

Zakończenie przetwarzania, zwrot/usunięcie danych (Exit/Retencja)

Funkcjonalności AI

Odpowiedzialność

Postanowienia końcowe